














安全 可 以 复制 一 向 世界 500 强 企业 学 习 Linux 安 全 管理 与 运 维 之 道 一 
51CTO 奥 心 推 存 。 献 给 工作 在 企业 信息 安全 和 Linux 安 全 运 维 岛 域 工作 者 的 实用 宝典 。 
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“一 本 真正 适合 中 国企 业 的 Linux 安 全 管理 与 运 维 书籍 “ 
“站 在 巨人 肩膀 上 学 习 企业 信息 安全 建设 和 Linux 安 全 运 维 ” 
。 企 业 安 刍 架 椅 设 计 和 原则 。 侈 业 安全 技术 实战 演练 。 企 业 安全 标准 和 审计 指导 T 
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数 子 版 权 声 明 


图 灵 社 区 的 电子 书 没有 采用 专 有 客 
尸 端 ， 您 可 以 在 任意 设备 上 ， 用 自 
己 喜 欢 的 浏览 器 和 PDF 阅读 器 进行 
KiE. 

但 您 购买 的 电子 书 仅 供 您 个 人 使 用 ， 
未 经 授权 ， 不 得 进行 传播 。 

我 们 愿意 相信 读者 具有 这 样 的 民 知 
和 壳 悟 ， 与 我 们 共同 保护 知识 产权 。 


如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 
对 该 用 尸 实 施 包 括 但 不 限于 关闭 该 
帐号 等 维权 措施 ， 并 可 能 退 究 法 律 
At. 


力作 者 简介 


李洋 博 + 


现任 某 信息 安全 公司 CTO， 历 任 金 融 公司 信息 安 
全 顾问 、 电 信和 运 曹 商 和 互联 网 企业 信息 安全 研究 
m/IRnEZI, 

十 余年 来 一 直 从 事 信息 安全 和 IT 架 构 领域 的 技术 
研发 和 管理 工作 ， 曾 主持 和 参与 多 项 国家 重点 项 
目 ， 并 主导 多 个 电信 网 络 、 互 联网 网 络 、 金 融 企 
业 网 络 的 IT 架构 设计 、 信 息 安 全 系统 设计 和 研发 
IF. 

具有 丰富 的 企业 信息 安全 规划 、 架 构 设计 、 建 设 
和 管理 经 验 ， 擅 长 企业 信息 安全 解决 方案 提供 及 
实施 、IT 架 构 设计 、 网 络 和 系统 应 用 /管理 /安全 
及 操作 系统 内 核 的 研发 。 

曾 在 IEEE、ACM、51CTO、《 计 算 机 世界 》、 
《网 管 员 世 界 》 等 国内 外 知名 媒体 和 期 刊 上 发 表 
SCIEI 学 术 论 文 和 各 类 技术 文章 百 余 篇 ， 拥 有 个 
人 专著 6 部 ， 国 家 专利 4 项 。 


个 人 博客 ( 2011 年 十 大 IT 博客 ) 
patterson.blog.51cto.com 
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本 书 的 写作 思路 


人 的 正确 思想 是 从 哪里 来 的 ? 





什么 是 安全 (What) 














“人 的 正确 思想 是 从 哪里 来 的 ?是 从 天 上 挥 下 来 的 吗 ? 不 是 。 是 自己 头脑 里 回 有 的 吗 ? 不 是 。 
人 的 正确 思想 ， 只 能 从 社会 实践 中 来 ， 只 能 从 生产 斗争 、 阶 级 斗争 和 科学 实验 这 三 项 实践 中 来 。” 
毛泽东 同志 早 在 1963 年 5 月 就 严明 地 作出 过 上 述 论断 。 

在 写 这 本 书 之 前 ， 我 束 一 直 在 思考 这 个 问题 ， 什 么 是 安全 ?安全 如 何 定义 ?安全 的 定义 来 目 
FRE? e 种 种 疑问 ， 一 直 陪 伴 着 我 。 进 入 信息 安全 行业 已 经 10 多 个 年 状 了 ， 从 技术 研发 ， 学 
术 研 究 到 目前 的 企业 信息 安全 规划 、 管 理 、 决 策 ， 大 大 小 小 的 项 目 ， 层 出 不 穷 的 安全 威胁 ， 琳 刺 满 
目的 安全 产品 , 日 新 月 异 的 安全 市 场 , 如 十 后 春 敌 般 出 现 的 安全 新 名 词 , 都 使 我 更 加 坚定 地 意识 到 ， 
在 这 本 书 里 ， 必 须 把 安全 这 个 问题 讲 透彻 ， 讲 明白 。 在 市 面 上 很 多 书籍 里 面 ， 包 括 操作 系统 安全 、 
安全 原理 方面 的 书籍 ， 以 及 我 以 前 的 儿 部 著作 中 ， 都 忽略 了 这 个 问题 ， 这 个 问题 没有 曾 述 和 介绍 清 
楚 ， 会 直接 影响 到 企业 的 信息 安全 工作 的 定位 、 实 施 和 成 效 。 

因此 ， 在 这 本 书 的 前 面 章节 中 ， 笔 者 结合 目前 业界 最 新 的 研究 成 果 和 上 自己 10 余年 的 信息 安全 
从 业经 验 ,， 并 根据 著名 信息 安全 领域 专家 方 滨 兴 院士 科学 、 系 统 定义 的 信息 安全 概念 ， 作 了 有 针对 
性 地 扩展 和 延伸 , 给 出 了 信息 安全 定义 、 企业 信息 安全 框架 以 及 企业 信息 安全 实施 和 建设 的 主要 工 
作 思 路 。 有 了 这 个 前 提 ， 在 后 面 章节 的 介绍 中 加 有 了 一 个 科学 的 基调 和 前 提 ， 也 便于 回访 者 介绍 
500 强 企 业 使 用 开源 Linux 系统 建设 信息 安全 的 思路 和 具体 方法 。 
















































































打破 砂锅 问 到 压 一 一 500 强 企 业 为 什么 要 关注 安全 (Why) 











本 书 的 笔者 有 多 年 的 世界 500 强 企 业 的 信息 安全 管理 工作 经 验 ， 深 说 500 强 企 业 信 息 安全 建 
设 、 规 划 、 实 施 和 管理 的 细节 、 难 点 和 重点 问题 。 并 且 ， 笔 者 认为 ， 世 界 500 强 企 业 对 于 信息 安全 
工作 的 重视 程度 ， 以 及 信息 安全 在 建设 、 规 划 、 实 施 和 管理 等 方面 都 有 其 所 长 ， 可 以 为 其 他 中 小 型 
和 大 型 企业 所 借鉴 和 参照 。 基 于 这 个 目的 ， 本 书 以 笔者 在 500 强 企业 中 使 用 企业 级 开源 操作 系统 
Linux 在 信息 安全 中 的 部 署 和 使 用 方法 为 切入 点 ， 来 介绍 如 何 做 好 信息 安全 工作 。 

言 归 正 传 ，500 强 企业 为 什么 要 关注 安全 呢 ? 原因 是 多 方面 的 。 首 先 ，500 强 企业 有 自己 的 服 
务 器 、 操 作 系统 ， 也 有 自己 的 系统 ， 这 些 系统 无 论 是 为 内 部 员工 服务 的 〈 比 如 OA 系统 、 电 子 邮 件 
系统 等 )， 还 是 为 外 部 客户 服务 的 〈 比 如 Web 发 布 系统 、 线 上 业务 系统 等 )， 都 会 面临 多 方面 的 安 
全 威胁 ,包括 内 部 员工 的 恶意 破坏 、 数 据 泄 露 、 误 操作 等 ， 以 及 外 部 不 法 用 户 的 非 授权 访问 、 拒 绝 
服务 攻击 、 垃 圾 邮件 、SQL 注入 等 ， 这 些 都 需要 进行 安全 方面 的 全 面 分 析 、 研 究 、 部 署 等 ， 才 能 






































防线 
企业 .inux 安全 运 维 理念 和 实战 





将 这 些 威胁 对 于 企业 的 危害 降 到 最 低 ; 其 次 ,作为 大 型 企业 来 说 , 需要 从 体制 上 来 健全 信息 安全 工 
作 ， 包 括 规 划 、 实 施 、 流 程 制定 、 人 员 增 训 等 ， 所 以 要 特别 关注 信息 安全 。 实 践 证 明 ， 越 是 规模 大 
的 企业 ， 越 容易 出 现 安全 问题 ， 如 果 不 居安思危 ， 早 作 准 备 ， 就 很 难 在 现代 企业 中 立 于 不 败 之 地 ， 
也 很 难 幸免 于 我 们 最 近 经 常 听 到 的 密码 泄露 事件 、 客 户 资料 泄密 事件 等 。 一 旦 过 到 这 些 问 题 , 企业 
的 形象 将 会 不 保 ， 企 业 的 品牌 和 对 于 用 户 建 并 的 信任 也 会 受到 很 大 影响 ; 最 后 ， 国 家 、 政 府 和 行业 
也 对 不 同 的 企业 提出 了 很 多 信息 安全 方面 的 管制 要 求 ， 主 要 是 满足 合 规 、 生 产 安 全 等 方面 的 要 求 ， 
比如 著名 的 国家 等 保 、 证 监 会 /银监会 的 要 求 、 文 付 行 业 的 PCVDSS、 美 国 的 SOX 法 案 等 ， 都 对 企 
业 尤 其 是 大 型 企业 提出 了 非常 好 的 安全 要 求 。 






































实践 出 真知 一 一 500 强 企 业 如 何 做 好 信息 安全 建设 (How) 


明白 了 什么 是 安全 ， 为 什么 要 关注 安全 ， 那 么 最 午 要 的 一 步 束 是 如 何 来 做 安全 了 ， 也 就 是 如 
何 通 过 技术 和 管理 手段 来 保证 企业 的 安全 ， 防止 安全 事件 或 者 事故 的 发 生 ， 树立 企业 形象 ,保证 企 
业 正常 运行 。 

根据 笔者 在 500 强 企业 的 多 年 信息 安全 工作 经 验 , 在 本 书 中 , 将 使 用 企业 级 Linux 进行 信息 安 
全 建设 工作 的 其 体 实施 方法 分 为 以 下 5 个 阶段 : 

1. 认 知 阶段 ; 
. 杭 理 阶段 ; 
.实施 阶段 ; 
. 运 维 阶段 ; 
.工具 应 用 阶段 。 

这 5 个 阶段 直接 对 应 到 本 书 的 5 个 技术 部 分 。 会 系统 、 全 面 地 回 读 者 介绍 500 强 企业 作 好 信 
县 安全 工作 的 方方面面 。 
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读者 群 





本 书 是 一 本 面 癌 企 业 的 基于 操作 系统 平台 进行 信息 安全 建设 的 实践 书籍 ， 是 围绕 着 什么 是 、 
为 什么 和 怎么 样 构 建 信息 安全 来 进行 介绍 的 。 因此 , 这 本 书 并 不 需要 读者 具有 高 深 的 计算 机 科学 与 
技术 或 者 信息 安全 的 基础 理论 知识 , 这 本 书 的 主要 读者 是 怀 有 一 定 的 工作 目标 并 对 信息 安全 有 一 定 
兴趣 的 工程 师 或 者 信息 安全 从 业 人 员 。 

笔者 也 非常 希望 企业 的 CIO、CEO 和 CSO 都 能 够 从 本 书 中 获得 他 们 需要 的 一 些 宝贵 理念 和 实 
践 指引 。 本 书 中 的 一 些 理念 、 方 法 和 实践 指南 ， 笔 者 都 在 企业 信息 安全 建设 中 与 一 些 CIO. CEO 
经 过 讨论 并 达成 共识 。 

刚 走 出 校门 的 大 学 生 、 研 究 生 ， 以 及 正在 通过 各 种 渠道 (包括 培训 、 实 习 等 ) 来 试图 进入 信 
县 安全 领域 的 学 子 或 者 工作 者 ,相信 可 以 从 本 书 中 获得 系统 的 知识 和 工作 的 指南 。 本 书 中 所 前 述 的 
知识 、 操 作 所 用 的 案例 都 是 在 实际 工作 中 精 挑 细 选 的 , 相信 读者 可 以 从 中 提前 感受 和 体会 到 作为 一 
名 信息 安全 从 业 人 员 所 需要 具备 的 基本 知识 结构 以 及 实际 的 技能 。 
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作者 简介 














本 书 的 笔者 有 多 年 500 强 企业 从 事 信息 安全 技术 研发 和 管理 的 实践 经 验 , 撞 长 于 Linux 安全 的 
管理 和 研发 ,具有 深厚 的 Linux 安全 基础 理论 知识 和 丰富 的 项 目 经 验 。 本 书 由 李洋 主持 编号 ， 参 与 
编写 的 作者 还 有 柴 泽 楠 、 新 文 佳 、 张 晓 明 、 江 扬 旺 、 康 宇 、 宋 继 阳 、 吴 廷 勇 、 张 恒 、 孙 和 定 隆 、 陈 义 
勇 、 石 依 山 、 姚 笃 君 、 李 刚 、 王 博 、 李 漆 洋 、 吕 远 、 孙 悦 、 张 雷 、 史 思 冰 、 田 源 、 关 威 等 。 

由 于 作者 水 平 有 限 ， 书 中 难免 存在 琉 源 与 不 当 之 处 ， 冤 请 专家 和 广大 读者 给 也 批评 指正 。 欢 
迎 大 家 通过 我 的 51CTO 官方 blog (http://patterson.blog.51cto.com/〉 以 及 新 浪 微 博 (http://weibo. 
com/u/2358007797) 与 我 互动 交流 。 


















































内 容 编排 





在 内 容 的 编排 上 ， 本 书 精 挑 细 选 ， 握 弃 了 企业 应 用 小 众 化 的 FTP、Samba、NFS 5$, WEER 
在 500 强 企 业 关 注 的 信息 安全 框架 、 数 据 安 全 、 通 信安 全 、 移 动 办 公安 全 等 专题 上 面 。 本 书 各 曹 的 
内 容 安排 如 下 。 

第 1 篇 (安全 运 维 理论 及 背景 准备 ) 一 一 “知己 知 彼 ， 百 战 不 殉 ?” 

第 1 革 是 本 书 的 入 门 知识 。 对 于 一 个 500 强 企 业 的 信息 安全 管理 者 来 说 ， 必 须要 对 国际 、 
内 的 信息 安全 现状 , 尤其 是 企业 信息 安全 面临 的 威胁 ， 以 及 所 和 面 对 的 对 手 一 一 圳 客 ， 都 要 有 一 个 非 
党 清醒 的 认识 ， 本 革 即 对 这 些 内 容 进行 入 门 性 的 介绍 。 

第 2 半分 门 列 类 地 详细 介绍 如 何在 各 个 层次 来 使 用 信息 安全 的 相关 技术 来 应 对 安全 威胁 。 

第 2 篇 《企业 Linux 安全 运 维 规划 及 选 型 ) “凡事 预 则 立 ， 不 预 则 废 ” 

第 3 草 介 绍 企业 的 信息 安全 工作 的 思路 ， 以 及 有 共 体 的 Linux 安全 的 实施 内 容 。 

"B 4 章 介 绍 企业 在 选择 时 要 考 夸 到 其 发 行 套件 、 内 核 版 本 以 及 服务 器 选 型 等 诸多 问题 。 并 且 
介绍 如 何 解 决 为 了 六 省 人 力 、 物 力 ， 而 大 规模 地 蜗 效 部 团 Linux 的 问题 。 

第 3 篇 《企业 Linux 安全 运 维 实战 ) 一 一 “战略 上 煞 视 敌人 ， 战 术 上 重视 敌人 ” 

"BS 章 从 文件 系统 、 进 程 、 用 户 管理 、 日 意 安 全 四 个 方面 出 发 ， 介 绍 企 业 对 于 这 四 个 方面 的 
安全 防护 技术 、 工 具 和 策略 。 

第 6 章 针对 目录 /文件 的 访问 控制 方式 ,介绍 更 为 灵活 的 通过 访问 控制 列表 (ACL ) 以 及 SELinux 
的 企业 Linux 安全 加 固 机 制 。 

第 7 章 详 细 介 绍 企业 如 何 通 过 紧密 布控 ， 人 全面 地 保证 开源 企业 Web 服务 器 运 维 安 全 。 

第 8 章 从 分 析 基 础 网 络 服务 面临 的 安全 风险 出 发 ， 给 出 如 何 对 这 些 服务 进行 安全 防护 的 方法 
和 技术 。 

第 9 草 介 绍 如何 使 用 数据 防 泄露 、 加 密 技 术 和 工具 保障 企业 数据 安全 。 

第 10 革 介 绍 VPN 技术 的 基本 原理 和 分 类 ， 并 深入 分 析 和 探讨 如 何 使 用 开源 的 VPN 技术 来 保 
障 企 业 的 移动 数据 通信 安全 。 

第 11 章 详 细 介 绍 企业 如 何 应 用 相关 的 工具 来 进行 企业 Linux 服务 器 远程 安全 管理 。 

第 12 章 针对 Linux 网 络 ， 介 绍 企业 网 络 流量 管理 的 主要 技术 、 理 念 和 工具 。 
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第 13 章 详细 介绍 企业 级 防火 墙 的 部 署 及 应 用 。 

第 14 章 详细 介绍 企业 立体 式 入 侵 检 测 及 防御 体系 、 技 术 及 工具 的 应 用 。 

第 4 篇 《企业 Linux 安全 监控 ) —— “WREKE” 

第 15 章 介绍 企业 Linux 系统 及 性 能 监控 的 第 用 工具 和 方法 ， 并 通过 大 量 的 实例 来 换 示 企业 是 
如 何 进 行 此 项 安全 运 维 工 作 的 。 

第 16 章 介 绍 如 何 使 用 优秀 的 开源 网 络 监 控 工 具 辅助 网 络 管理 人 员 和 信息 安全 工作 人 员 进 行 网 
络 监控 和 管理 。 

第 17 革 介 绍 如 何在 Linux 系统 下 通过 谓 口 和 漏洞 扫 摘 来 友 现 企业 网 络 漏洞 ， 从 而 为 安全 工作 
者 提供 相应 的 素材 ， 以 针对 基体 信息 采取 相应 的 措施 来 对 该 漏洞 进行 修补 等 。 

第 5 篇 (企业 Linux 安全 运 维 命令 、 工 具 ) 一 一 “ 工 欲 善 其 事 ， 必 先 利 其 器 ” 

第 18 章 对 企业 级 Linux 内 核 配置 、 编 译 、 安 装 、 系 统 恢 复 等 细节 性 的 问题 进行 评 细 介绍 。 

第 19 草 对 一 些 比 较 音 用 的 优秀 开源 工具 进行 介绍 。 

附录 A 挑选 了 百 余 种 Linux 中 最 为 常见 和 午 要 的 命令 ， 给 出 的 这 些 命令 的 功能 说 明和 参数 ， 
以 及 语法 使 用 都 是 严格 地 根据 Linux 中 的 man 手册 参考 得 来 的 ， 希 望 为 用 户 提 供 日 党 使 用 和 学 习 
的 参考 之 用 。 

附录 B 为 谈 者 提供 了 一 些 在 企业 信息 安全 管理 中 可 能 用 到 的 非常 有 用 处 的 网 络 工 具 。 
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回复 信息 安全 爱好 着 的 一 封 信 


来 信 





李 博 士 您 好 ， 期 望 百 忙 之 中 能 浪费 您 一 些 时 间 ， 关 于 追求 技术 的 了 矛盾: 

很 早 束 关注 了 您 的 blog. 您 发 表 的 很 多 文章 部 值得 借鉴 ， 令 我 钦佩 。 正 在 研读 您 的 《网 络 协 
议 本 质 论 》， 巩 固 知识 体系 ! 开门 见 山 ， 首 先 介 绍 下 我 自己 ， 我 是 一 个 执着 于 追求 技术 的 人 ， 两 
年 前 ,因为 信息 安全 专业 而 去 了 一 所 大 专 院 校 党 习 。 现在 ,两 年 过 去 了 ,也 学 到 了 一 些 基础 知识 ， 
不 过 还 没 形 成 体系 ， 而 且 偏 问 网 络 这 一 块 ， 下 和 面 把 这 两 年 我 所 自学 的 东西 列 出 来 : 

1. 网 络 方 问 : 网 络 基础 、TCP/ 耻 《〈 仅 原理 ， 代 人 码 实现 未 研究 ) ， 思 科 的 CCNA、 部 分 NP+ 
模拟 器 实践 ,考取 了 软考 的 网 络 工程 师 中 级 职称 证 书 ， 考 这 个 证 书 的 主要 目的 是 为 了 把 网 络 的 整 
个 知识 体系 打下 一 个 框架 性 的 认识 ， 力 争 融 会 贯通 。 

2. 操作 系统 方 回 : X5 Linux、RHCE、 各 关 服 务 搭建 、Linux 下 ShellScript 的 编写 (服务 
WE) 、 操 作 系 统 原 理 、Server 2003、 数 据 库 等 。 

3. Web 安全 方 同 : ASP/PHP/JSP 及 一 些 脚本 编写 、 网 站 攻防 、 渗 透 测试 等 〈 这 一 块 还 没 开 
始 ) 。 

4. 编程 方向 : CC++/ 汇 编 等 《停留 在 皮毛 阶段 ， 主 要 精力 花 在 了 网 络 技术 和 服务 器 (Linux) 
应 用 技术 这 一 块 ) 。 

学 习 定 位 : 

1. 主攻 Linux， 掌 握 常用 命令 的 用 法 ， 熟 悉 Shell 脚本 的 编写 ， 能 高 效 搭建 各 种 常用 服务 及 
安全 。 (60% 精 力 ) 

2. 掌握 汇编 语言 /C/C++ 的 基础 ， 有 了 时间 + 数据 结构 。 20% 精力 ， 上 半年 ) 

3. 完成 任务 2 后 开始 学 习 Web 安 人 全、 渗透 等 攻防 技术 ， 部 分 可 归纳 在 Linux 学 习 范 围 内 。 
(30% 精 力 、 下 半年 ) 

4， 熟 悉 网 络 设 备 的 配置 及 技术 原理 ， 至 少 有 个 感性 的 认识 ， 如 多 区 域 OSPF、VPN、MPLS 
和 防火 墙 。 (10% 精 力 ) 

大 概 束 是 这 些 , 路 几乎 都 是 目 己 摸索 出 来 的 , 与 任 晓 辉 的 那 张 黑客 分 类 进 阶 图 的 网 络 攻防 方 
各 差不多， 这 条 路 似乎 有 些 偏 离 安 全 技术 的 核心 方向 ， 如 道 向 、 反 汇编 调试 、 脱 克 、 破 解 、 外 挂 、 
有 反 病 毒 、 木 马 、 内 核 编写 等 底层 的 东西 , 但 真正 要 把 这 些 东 西学 通 ， 又 需要 相当 长 的 时 间 去 掌握 ， 
而 我 要 和 耐 对 现实 问题 ， 半 年 后 闫 不 多 就 要 去 相关 的 工作 岗位 应 聘 ,， 做 一 些 偏 问 网 络 应 用 方面 的 技 
术 ， 必 须 先 站 稳 脚 跟 ， 找 到 谋生 的 手段 ， 出 校门 后 会 先 做 一 些 Linux 服务 器 的 运 维 相 关 工 作 来 作 
为 过 渡 职 位 ， 可 能 偏 问 网 站 安全 ， 先 以 Linux 为 主攻 方向 ， 然 后 利用 空闲 时 间 学 习 安 全 技术 ， 包 
括 Linux 内 核 ， 并 把 安全 这 个 知识 面 打 好 ， 比 如 学 习 CISP 的 诛 程 体系 ， 虽 然 广 而 不 精 ， 重 理论 、 
概念 性 知识 ， 缺 少 实践 ， 但 我 觉得 形成 一 个 比较 广 的 安全 知识 体系 并 深入 研究 技术 会 更 好 些 ， 然 
后 转 而 做 一 些 信息 安全 的 相关 工作 (应 该 是 涉及 和 面 比较 广 的 ， 而 不 是 纯 做 某 一 项 技术 的 大 牛 ， 比 
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如 内 核 、 逆 回 、 软 件 安全 、 反 病毒 软件 编写 等 ) ， 也 许 技术 涉及 的 不 深 ， 但 这 样 的 方 癌 也 是 出 于 
我 日 映 的 各 种 因素 及 发 展 而 理性 判断 而 决定 的 ， 黑客 这 些 核心 搁 术 , 我 想 作 为 一 种 业余 爱好 去 人 研 
完 《〈 也 许 能 在 工作 中 作为 辅助 甚 全 转 为 优势 ) 。 事 实 如 此 ， 不 过 心 有 不 甘 ， 我 也 想 做 到 技术 的 是 
峰 ， 以 致 经 党 产生 矛 盾 心 理 ， 不 知道 前 右 是 如 何 衡量 这 些 现实 因素 的 ? 

我 淘 望 黑客、 安全 技术 的 最 局 境界 ， 只 因 起 步 较 晚 ， 能 力 有 限 ， 蕊 上 要 面临 现实 生存 问题 ， 
所 以 必须 想 个 办 法 ， 两 年 来 ， 我 主要 精力 花 在 网 络 这 一 块 《〈 虽 然 本 质 上 都 是 相通 的 ， 但 也 需 有 所 
MERO ， 所 以 我 的 方 回 是 先 以 网 络 安全 为 主 ， 其 体 点 ， 应 该 是 Linux 系统 管理 员 ， 一 个 服务 需 
架设 与 确保 服务 安全 的 管理 员 ， 然 后 倾 问 Web 安全 ， 以 这 个 作为 成 为 “大 牛 ” 的 一 个 跳板 ， 一 
个 暂时 的 安 映 之 地 ， 算 一 个 比较 折 中 的 方向 吧 ， 我 觉得 做 这 一 块 ， 既 要 情操 作 系统 、 网 络 、 数 据 
库 、C、 汇 编 ， 还 要 恒 计 算 机 组 成 原理 、 脚 本 语言 、 算 法 、 逻 辑 思维 等 ， 才 能 把 Linux 学 得 比较 
好 ， 我 想 ， 花 几 年 时 间 ， 等 Linux 做 到 一 定 程 上 度 ， 编 程 基础 也 相应 上 来 了 ， 那 么 束 可 以 深入 它 有 的 
内 核 ， 读 它 的 内 核 源 代码 ， 深 入 搬 层 的 学 习 ， 不 代表 未 来 就 不 往 黑 客 的 核心 搁 术 发 展 ， 包 括 软 件 
安全 ， 但 我 必须 先秦 儿 年 时 间 把 “网 络 安全 ”这 一 块 做 好 ， 做 得 比较 “精通 ”业余 时 间 学 软件 
安全 技术 ) 。 

我 下 把 应 用 性 技术 比 作 “外 功 ”， 而 把 底层 技术 ， 比 如 汇编 ， 比 作 “ 内 功 ”， 只 剩 半 年 多 时 
间 ， 我 需要 先 把 “外 功 ” 练 好 ， 毕 业 后 找 个 容 身 之 地 ， 然 后 利用 运 维 工作 较 多 的 空闲 时 间 ， 去 修 
Bk CPI. 

近期 目标 : 力争 做 一 个 优秀 的 Linux RAEHAN, RELE, HRYxIX— BEA. EA Web 安 
全 为 主 。 

但 我 会 先 花 时 间 掌 握 编写 高 效 的 运 维 脚 本 能 力 , 即 Linux 下 的 ShellScripts, 进一步 了 解 Linux 
的 工作 原理 , 以 任 市 省 工作 时 间 , 然后 利用 这 些 空 羡 时 间 去 学 习 黑 客 所 需要 的 技术 知识 , 比如 C. 
汇编 、 数 据 绪 构 与 算法 等 重要 的 基础 知识 ，Web ERW, MEEA, Ei Oracle. 

HARD: 比如 维护 百度 、 淘 军 等 门户 网 站 的 安全 。 

期 望 李 前 奉 能 在 百人 忙 之 中 花 一 些 时 间 来 帮 我 理 清 下 思路 与 和 矛盾， 从 内 心 感激 您 ， 谢 谢 ! 

一 名 追求 提高 技术 实力 而 获得 成 束 感 和 满足 、\ 不 断 奋 斗 中 的 所 谓 的 “信息 安全 学 子 ” 的 来 信 。 
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Tii 


我 的 回复 





这 位 朋友 ， 你 好 ! 

看 了 你 的 信 ， 我 非常 高 兴 ， 你 能 够 在 信息 安全 的 这 条 道路 上 默默 探索 ， 慢 慢 前 进 ， 非 常 不 容 
易 ， 值 得 肯定 ! 

下 和 耐 我 帮 你 理 消 一 下 思路 。 其 实 你 的 情况 非常 典型 ,很 多 扎 称 在 信息 安全 领域 搞 了 多 年 的 人 ， 
也 没 你 想 的 这 么 多 ， 这 么 透彻 ， 我 非 党 高兴， 中 国 的 信息 安全 人 才 还 是 不 缺乏 的 。 建 议 你 从 如 下 
几 个 方面 看 手 学 习 和 发 展 。 

(1) 打 牢 基础 ， 注 重 积累 

信息 安全 方面 涉及 的 领域 非 党 三， 本质 上 是 一 个 交叉 性 学 科 ， 泗 盖 的 内 容 包 括 操 作 系 统 、 计 
算 机 网 络 、 数 据 通 信 、 数 据 库 、 密 码 和 党、 程序 语言 与 设计 、 编 详 原 理 、 计 算 机 体系 结构 等 ， 而 且 
对 每 一 门 的 要 求 都 不 低 ， 至 少 要 理解 原理 ， 并 能 够 人 举一反三。 所谓 安全 ， 主 要 的 就 是 敏锐 的 洞察 
力 和 判断 力 ， 使 用 这 些 基 础 知识 去 对 系统 、 软 件 、 网 络 、 应 用 等 进行 安全 与 耕 的 判断 以 及 提出 解 
决 办 法 ， 是 一 个 非常 综合 性 的 工作 。 因 此 ， 基 础 打 得 牢 不 诛 ， 知 识 和 面 广 不 三 ， 生 接 决 定 了 你 以 后 
的 发 展 , 可 以 多 买 一 些 基 础 性 的 结合 应 用 的 书籍 来 看 , 这 样 既 不 会 枯燥 乏味 , EXE TE m H E, 
我 号 的 一 些 书 籍 大 多 都 是 两 者 结合 ， 你 可 以 参考 使 用 。 

(0 勤 于 实践 ， 多 多 动手 

训 居 安全 同时 又 是 一 门 实 践 性 和 操作 性 非常 强 的 和 学科， 从 你 所 用 的 一 些 工 具 软 件 、 有 反 汇 编 拉 
术 每 ， 痢 需要 实践 。 当 然 ， 这 个 实践 不 能 冒 日 地 从 网 上 下 载 一 些 工 具 ， 拿 来 束 用 。 和 十 要 理解 其 原 
理 、 特 性 和 用 途 ， 才 能 有 的 放 天 ， 也 能 迅速 提高 。 这 就 需要 以 目 己 牢固 的 基础 知识 为 后 盾 ， 切 扎 
盲目 、 好 高 合 远 ,一 心 只 想 使 用 工具 ,而 忽略 了 目 己 在 各 方面 的 沉 证 和 积累 。 现 在 的 工具 非常 多 ， 
但 是 切忌 不 要 进行 恶意 的 攻击 行为 ， 可 以 采用 虚拟 机 等 在 虚拟 的 环境 中 进行 ， 这 是 一 个 前 提 ， 也 
是 一 个 信息 安全 工作 人 员 的 职业 操守 。 

G) dA BEBE I 

工作 这 么 多 年 , 从 数 十 个 国家 儿 千 万 项 目的 信息 安全 研发 工作 到 近年 来 大 型 企业 的 信息 安全 
常理 工作 ， 我 最 大 的 收获 融 是 要 善于 总 结 ， 阶 段 性 地 总 结 。 各 关 应 用 不 断 出现 ， 其 漏 筒 和 风险 越 
来 越 多 ， 上 所 暴露 的 安全 问题 也 越 来 越 多 ， 征 “头痛 医 头 ， 脚 痛 医 脚 ”， 还 是 总 结 得 出 一 些 好 的 方 
法 ， 对 一 关 问 题 的 解决 办 法 或 者 解决 方案 效率 局 呢 ? 显然 是 后 者 。 但 是 做 起 来 不 是 那么 容易 的 ， 
需要 有 前 面 基础 学 习 和 实践 经 验 其 至 教训 的 总 结 。 现 在 中 国信 息 安 全 的 格局 比较 混乱 ， 很 多 所 谓 
的 信息 安全 工作 人 员 只 注重 一 明 一 夕 的 工具 的 使 用 、 一 次 两 次 的 所谓 “攻击 实战 ”， 却 不 注重 方 
法 ， 不 注重 总 结 ， 这 是 非 钊 低 效 的 。 可 以 看 到 ， 国 外 的 信息 安全 从 业 人 员 ， 虱 有 非常 深厚 的 基础 
功底 和 实践 经 验 ， 这 值得 我 们 好 好 借鉴 。 这 样 ， 经 过 一 段 时 间 ， 你 就 会 有 要 柄 灌顶 、 和 蔚然 开 肯 的 
感觉 ， 你 就 慢 慢 进步 了 ， 慢 慢 地 朝 看 正规 的 、 民 性 的 方向 发 展 。 

因此 ， 根 据 上 面 儿 个 原则 ， 相 信和 不 难 规划 你 的 信息 安全 之 路 ， 视 你 学 业 有 成 ! 
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推荐 序 一 


“结识 李 先 生 已 经 6 年 有 余 了 。 从 一 名 技术 媒体 人 的 角 撤 来 看 ， 本 书 既 不 是 空 洞 的 纸上谈兵 ， 
也 不 是 无 来 由 的 夸 鳃 昌 进 ， 而 是 他 先生 在 多 年 的 工作 和 研究 中 所 积累 的 理论 和 经 验 。 

开源 是 所 有 有 的 IT 爱好 者 所 热衷 的 话 感 ， 但 是 如 何 将 开源 合理 、 安 全 地 利用 到 企业 信息 化 建 
设 ， 如 何 遍 质量 地 针对 开 源 进行 维护 ,如 何 利 用 开源 有 效 地 抵御 和 防范 日 渐 增 强 的 企业 信息 化 威 
B, 诸如 此 次 的 问题 是 企业 级 信息 化 管理 者 需要 不 断 攻 融 的 一 个 诛 题 。 而 本 书 正 是 为 这 些 企 业 级 
言 恩 化 管理 者 带 来 了 一 套 切 实 可 行 的 方式 方法 。 在 此 辐 各 位 读者 朋友 推荐 这 本 书籍 ， 也 祝愿 李 先 
生 的 作品 能 够 让 更 多 的 读者 从 中 得 到 收获 。 














一 一 S$S1CTO 网 站 副 总 编 赵 乔 先 生 


推荐 序 二 





安全 问题 ， 是 这 两 年 不 断 引 爆 人 们 神经 的 话题 ， 从 QQ VES. SUAE E vto FARAH, PEE 
国内 知名 IT 论坛 用 户 名 警 人 码 泄露 ， 人 们 的 信息 安全 和 财产 安全 面临 着 一 次 又 一 次 的 危机 ， 而 发 
生 这 些 事情 后 ， 我 们 第 一 个 反应 到 的 词 是 什么 ? 是 安全 ! 

当 我 打开 这 本 书 的 时 候 ， 看 到 的 不 是 “一 十 池塘 水 面 平 ， 淡 麻 明 镜 照 檐 要 ”， 而 是 “ 酬 中 沙 
场 君 砚 活 ， 古 来 征战 几 十 还 ”， 在 系统 一 次 次 航 攻 陷 ， 多 少 人 陷入 “但 使 龙 城 飞 将 在 ， 不 教 衣 已 
度 了 明山” 的 场景 。 没 有 刀光剑影 的 江湖 ， 束 不 叫 江湖 。 同 样 没 有 你 攻 我 防 的 网 络 ， 也 不 是 网 络 。 
网 络 的 本 孔 束 是 将 大 家 的 信息 孤岛 互相 联系 起 来 , 融入 一 网 , 而 称 为 互联 网 。 而 在 这 个 闭 子 里 面 ， 
总 有 人 不 甘 我 尧 ， 喜欢 顷 探 其 他 人 的 “岛屿 ”。 于 是 大 家 目 愿 日 友 地 组 建 了 生态 财 目 卫队 ， 而 这 
本 书 ， 我 认为 是 日 卫队 的 必 读 教材 。 

现在 多 数 的 书籍 要 么 把 重点 都 放 在 了 概念 前 述 或 者 是 学 术 理 论 上 , 忽略 了 实际 操作 的 疑惑 和 
应 用 难题 的 解决 ; 要 么 将 运 维 说 得 概念 大 到 天 ， 忽 上 略 了 运 维 的 真正 意义 。 而 该 书 打 人 破 了 这 种 各 规 
思路 ， 给 旋 者 耳目 一 狐 的 感觉 。 这 本 书 是 一 本 痢 腿 于 现在 企业 安全 管理 难题 的 实用 型 工具 书 。 其 
理念 对 于 企业 IT 管理 人 员 上 共有 指导 意义 ， 在 使 用 任何 工具 前 ， 翻 阅 一 下 这 本 书 ， 它 会 告诉 你 在 
新 系统 上 线 前 ， 可 能 会 遇 到 哪些 问题 ;也 会 告诉 你 在 上 线 后 ， 可 能 会 受到 哪些 攻击 。 这 本 书 以 
Linux 为 平台 ， 详 细 讲 述 了 安全 运 维 理念 中 最 为 核心 的 方法 。 应 用 普及 到 安全 边界 、 喘 份 安全 与 
访问 管理 、 数 据 保 密 以 及 安全 监控 和 管理 等 ， 几 乎 无 所 不 容 。 

李洋 已 经 在 安全 领域 从 事 10 余年 ， 一 直 致 力 于 计算 机 网 络 信息 安全 的 研发 工作 ， 现 任 一 家 
际 知名 投资 银行 的 资深 信息 安全 顾问 和 架构 是 ， 同 时 担任 ICC、IEEE Communications Letters, 
Globecom、Elsevier Computer Communications、Elsevier Computers Security 等 多 种 SCI 检索 期 刊 
和 国际 著名 会 议 的 审 稿 人 和 TPC， 并 在 国家 863、 国 家 自然 科学 基金 、 国 家 242 信息 安全 计划 项 
目 等 项 目 中 作为 主要 成 员 ,， 为 项 目 组 做 出 了 显著 贡献。 他 对 于 计算 机 安全 技术 和 解决 方案 有 痢 高 
度 的 热情 和 执 看 ， 这 种 热情 和 执 看 作为 他 生命 中 的 特质 伴随 其 职业 生涯 。 也 正 是 这 种 特质 ， 使 他 
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获得 了 大 量 的 学 术 认 可 和 项 目 成 果 ， 他 在 安全 领域 的 大 量 著作 就 是 他 这 种 特质 的 一 个 缩写 。 李 洋 
在 网 络 安全 领域 拥有 丰富 的 阅历 ,在 写作 方面 也 有 着 出 众 的 引导 读者 的 能 力 ， 经 过 他 性 格 特质 的 
加 工 ， 使 得 该 书 必然 是 一 部 海纳百川 的 书 。 如 果 您 正在 为 公司 的 安全 问题 担忧 不妨 考虑 一 下 这 
本 书 ， 该 书 给 读者 带 来 的 将 不 只 是 知识 的 累计 和 经 验 的 提升 ， 还 希望 读者 在 遇 到 问题 的 时 候 ， 通 
过 这 本 书 可 以 “ 众 里 寻 他 千百度 ， 慕 然 回首 ， 答 案 只 在 桌 上 手边 处 "。 














一 一 汇 美 国际 下 属 科 技 公 司 CTO 战 剑 新 先生 


推荐 序 


|i 


Network security has been becoming the cornerstone of modern information system. With the 
widespread deployment of Cloud technology facilities and the extensive application of electronic 
settlement and payment in the field of finance service, this trend is accelerating, thus from this aspect, 


security has been at the heart of corporate information system. 


Doctor Yang Li has been a senior expert with extensive experience in network security. This book 
is his another masterpiece in security field which is almost rated as the perfect combination of security 
theory and practice, to some extent, it is a bible book of security. 

WORTHWHILE READING!!! 





Andrew Liu, the CTO of Mobile Payment Inc. @Silicon Valley 
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kekik, ARTI 


出 自 兵 家 : 《和 孙子 : 谋 攻 篇 》 中 说 : “知己 知 彼 ， 百 战 不 歼 ; 不 知 彼 而 知己 ， 一 胜 一 负 : 
Thik, TAD, FRL.” 意思 是 说 ， 在 军事 纷争 中 ， 既 了 解 敌 人 ， 又 了 解 自己 ， 百 战 
都 不 会 有 危险 ; 不 了 解 敌 人 而 只 了 解 自己 ， 胜 败 的 可 能 性 各 半 ; 既 不 了 解 敌人 ， 又 不 了 解 自 
己 ， 那 么 每 战 都 会 有 危险 . 

安全 运 维 工 作 需 要 有 知己 知 彼 的 蹇 智 ， 才 能 够 在 安全 与 威胁 之 争 中 取得 先 机 ， 也 能 使 企 
业 在 安全 运 维 工作 中 立 于 不 败 之 地 。 





所 谓 “ 知 己 知 彼 ， 百 战 不 殉 "， 对 于 网 络 
安全 工作 者 和 Linux 安全 管理 员 来 说 尤其 如 
此 。 在 学 会 并 使 用 相关 的 Linux 安全 技术 之 
前 ， 人 必须 要 对 网 络 安全 现状 有 一 个 全 面 、 整 
体 、 安 观 和 清醒 的 认识 。 具 体 来 说 ， 需 要 明 
确 以 下 几 个 方面 的 知识 和 背景 。 

s。 国内 和 国际 网 络 安 全 问题 及 其 现状 ， 

包括 一 些 相 关 的 安全 组 织 和 标准 。 

a 黑客 入 侵 问 题 的 严重 性 。 

s 黑客 入 侵 所 采用 的 常用 攻击 手段 分 

类 和 基本 原理 。 

对 于 一 个 500 强 企业 的 信息 安全 管理 者 
来 说 ， 必 须要 对 国际 、 国 内 的 信息 安全 现状 ， 
尤其 是 企业 信息 安全 面临 的 威胁 ， 以 及 所 面 
XS ENSE SER. 要 有 一 个 非常 清醒 的 认 
iR, zera ERE 3T E S — 
pan 
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ES 信息 安全 问题 概览 


目前 越 来 越 多 的 网 络 系统 面临 看 攻击 和 入 侵 的 克 胁 。CERT (Computer Emergency Response 
Team) 权威 数据 表明 ， 从 1988 年 起 ，CERT 报告 的 安全 事件 每 年 以 指数 级 增长 。 

中 国 国家 互联 网 安全 中 心 2011 年 8 月 9 日 在 大 连 举行 的 “计算 机 网 络 安全 年 会 ”上 表示 ， 
2010 年 以 来 网 络 安全 事件 的 路 境 化 特点 日 益 突出 ， 中 国 遭 受 的 各 类 网 络 安 全 事件 中 有 近 半 数 来 
自 境 外 。 

2010 年 ， 国 家 互联 网 应 急 中 心 监测 发 现 共 近 48 万 个 木马 控制 端 IP， 其 中 有 22.1 万 个 位 于 
境外 ， 前 两 位 分 别 是 美国 ( 占 14.7%) 、 印 度 〈 占 8.0%) ; 共有 13782 个 僵尸 网 络 控制 端 IP, 
有 6531 个 位 于 境外 ， 前 三 位 分 别 是 美国 〈 占 21.7%) 、 印 度 〈 占 7.2%) 和 土耳其 〈 占 $.7%) 。 
另 据 工 业 和 信息 化 部 互联 网 网 络 安全 信息 通报 成 员 单 位 报 送 的 数据 ，2010 年 在 中 国 实施 网 页 挂 
马 、 网 络 钓鱼 等 不 法 行为 所 利用 的 恶意 域名 半数 以 上 在 境外 注册 。 

国家 互联 网 应 急 中 心 去 年 协调 境外 网 络 安全 组 织 和 域名 机 构 , 处 理 了 多 起 针对 境内 的 恶意 扫 
描 、 网 络 钓鱼 等 网 络 安全 事件 ， 得 到 美国 、 韩 国 、 澳 大 利 亚 等 国 应 急 组 织 和 “国际 反 网 络 钓鱼 联 
盟 ” 等 组 织 的 配合 。 总 体 上 看 ， 暑 卉 网 络 安全 事件 呈现 快速 增长 趋势 ， 国 际 网 络 安全 合作 需 进 一 
步 加 强 。 同 时 ， 去 年 中 国共 有 近 3.5 万 家 网 站 被 黑客 算 改 ， 其 中 被 算 改 的 政府 网 站 达 4635 个 ， 
比 2009 Œ EFF 67.6%, 政府 网 站 安全 防护 较为 薄弱 。 此 外 , 金融 行业 网 站 频频 遭遇 “网 络 钓鱼 ”， 
成 为 不 法 分 子 骗取 钱财 和 窃取 隐私 的 重点 目标 。2010 年 ， 国 家 互联 网 应 急 中 心 共 接收 网 络 钓鱼 
事件 举报 1597 件 ， 较 2009 年 增长 33.1%。 被 仿冒 的 网 站 按 事 件 次 数 排 在 前 十 位 的 有 9 家 是 金融 
或 经 济 机 构 。 其 中 , 包括 美国 电子 商务 网 站 、 中国 香港 汇丰 和 银行、 中国 工商 银行 (601398, 股吧 )。 
今年 以 来 , 国家 互联 网 应 急 中 心 加 大 了 对 仿冒 境内 金融 机 构 网 站 的 监测 力度 ， 并 重点 处 置 涉及 中 
国 农业 银行 601288， 股 吧 ) 、 中 国 银行 (601988， 股 吧 ) 等 金融 机 构 的 仿冒 事件 。7 月 ， 国 家 
互联 网 应 急 中 心 自主 监测 发 现 的 仿冒 境内 银行 的 网 站 域名 为 278 个 ， 多 数 为 境外 注册 的 域名 。 

在 Internet 初期 ， 少 数 黑客 仅仅 出 于 好 奇 心 或 炫耀 自己 高 深 技 术 的 目的 进入 未 授权 系统 ， 而 
现在 大 量 黑 客 因 利益 驱使 盗用 资源 、 急 取 机 密 、 破 坏 网 络 。 同 时 由 于 网 络 的 普及 和 黑客 工具 软件 
的 流行 ， 使 得 攻击 网 络 所 需 的 技术 门槛 下 降 ， 因 而 破坏 性 更 大 。 图 1-1 显示 了 近 20 年 间 网 络 攻 
击 复杂 性 和 所 需 知 识 的 趋势 。 

从 图 1-1 可 以 看 出 ,在 20 世纪 80 年 代 ， 入 侵 者 一 般 是 信息 安全 领域 的 专家 ， 拥 有 深厚 的 专 
业 知 识 和 独特 的 入 侵 攻 击 手段 ， 很 少 依靠 专用 入 侵 工 具 。 他 们 一 般 手 工 编写 入 侵 代 码 ， 对 目标 系 
统 进行 攻击 。 但 是 现今 由 于 大 量 的 入 侵 工 具 能 够 从 Internet 上 轻松 获取 ， 攻 击 者 可 以 使 用 这 些 工 
具 来 攻击 数 以 万 计 的 系统 。 与 此 同时 ， 攻 击 类 型 日 益 复 杂 ， 攻 击 手段 趋 癌 于 多 样 化 ， 入 侵 和 破坏 
在 瞬间 完成 ， 同 时 采取 隐藏 行踪 的 手段 来 逃避 检测 系统 的 跟踪 。 例 如 ，20 世纪 80 年 代 和 90 年 
代 初 期 ，DoS 事件 《拒绝 服务 攻击 ) 较 少 报道 ， 并 未 引起 重视 ， 而 现在 对 于 电子 商务 、 在 线 证 券 
交易 等 网 络 贸易 ，DoS 攻击 经 常 造成 系统 停止 运作 。 另 外 ,， 在 攻击 频率 高 速 增长 的 同时 ， 攻 击 者 
有 具备 的 专业 知识 总 体 在 下 降 ， 攻 击 手段 却 日 益 复 杂 ， 各 网 络 系统 都 面临 看 严峻 考验 。 据 报道 ， 世 
界 上 平均 每 20 秒 就 发 生 一 起 黑客 入 侵 事 件 , 在 美国 每 年 因此 造成 的 经 济 损 失 高 达 100 多 亿美 元 ， 
涉及 政府 机 构 、 军 事 国 防 、 科 研 院 校 、 金 融 商业 等 各 部 门 。 计 算 机 网 络 犯 菲 已 严重 干扰 了 人 们 的 
正常 生活 ， 造 成 巨大 的 经 济 损失 ， 直 接 或 间接 地 威胁 着 国家 安全 。 
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图 1-1 入 侵 攻 击 的 复杂 性 与 入 侵 者 所 需 知 识 程度 的 关系 
根据 最 新 的 国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 报告 ， 目 前 网 络 攻击 的 动机 逐渐 从 技术 
次 型 转向 利益 驱动 型 网络 攻击 的 组 织 性 、 趋 利 性 、 专 业 性 和 定 癌 性 继续 加 强 ， 从 而 导 伊 为 获得 经 
济 利 益 的 恶 划 代码 和 在 线 映 份 名 取 成 为 网 络 攻 击 的 主流 ,瞄准 特定 用 户 群 体 的 定 问 化 信息 欠 取 和 勒 
索 成 为 网 络 攻 击 的 痢 趋 势 。 根 据 已 有 资料 分 析 ， 目 前 网 络 攻 击 从 整体 上 呈现 以 下 三 个 新 的 特点 。 
a 攻击 组 织 严密 化 : 黑客 逐步 形成 较为 严密 的 组 织 ， 致 使 网 络 攻击 的 效率 有 明显 提高 。 
a ”攻击 行为 趋 利 化 :针对 商业 竞争 对 手 的 攻击 和 用 于 饭 取 用 户 账 号 、 密 人 码 等 敏感 数据 的 
网 络 攻 击 逐 渐 增 多 。 随 看 网 络 行为 同 社会 行为 联系 的 进一步 密切 ， 网 络 攻击 的 最 终 目 
的 越 来 越 多 地 落 在 获取 具体 的 经 济 利 蔡 上 。 
a 攻击 目标 和 直接 化 : 网 络 兰 客 针 对 攻击 目标 的 特点 ， 设 计 特 定 的 攻击 代码 ， 纸 过 网 络 防 
御 体 系 入 侵 有 价值 的 目标 主机 ， 或 者 通过 僵尸 网 络 对 目标 发 起 特 接 的 大 规模 网 络 攻击 ， 
使 得 针对 特定 目标 的 网 络 攻 击 具 有 更 大 的 威胁 和 破坏 性 。 
目前 ， 信 息 安 全 问题 主要 体现 在 以 下 儿 个 方面 。 


1.1.1 黑客 入 侵 


计算 机 信息 网 络 上 的 黑客 攻击 事件 越 沽 越 烈 ,已 经 成 为 具有 一 定 经 济 条 件 和 技术 专长 的 形 形 
色色 攻击 者 活动 的 舞台 。 他 们 具有 计算 机 系统 和 网 络 脆 弱 性 的 知识 ， 能 使 用 各 种 计算 机 工具 。 境 
内 外 墨客 攻击 破坏 网 络 的 问题 十 分 严重 ， 他 们 通 间 采用 非法 侵入 重要 信息 系统 ， 触 听 、 获 取 、 攻 
击 侵入 网 的 有 关 敏 感性 重要 信息 ,修改 和 破坏 信息 网 络 的 正常 使 用 状态 ,造成 数据 丢失 或 系统 次 
痪 , 给 国家 造成 重大 政治 影响 和 经 济 损 失 , 在 计算 机 网 络 技 术 发 展 和 互联 网 应 用 日 益 普 及 的 今天 ， 
墨客 技术 也 日 益 高 明 。 目 前 ， 墨 客 能 够 运用 的 撤 术 手段 和 攻击 软件 已 经 局 达 上 干 种 ， 并 呈 日 渐 增 
长 乙 势 。 并 且 ， 黑 客 也 在 开发 或 者 利用 已 有 的 工具 来 寻找 计算 机 系统 或 者 是 网 络 的 缺陷 和 漏洞 ， 
并 针对 其 进行 有 目的 的 攻击 。 并 且 ， 从 图 1-1 也 可 以 清晰 地 看 到 ， 墨 客 工具 可 以 通过 互联 网 轻 而 
易 举 地 获得 ， 也 使 得 墨客 的 入 侵 更 加 方便 和 快捷 ， 网 络 安全 形势 日 趋 严重 。 墨 客 问题 的 出 现 ， 并 
非 波 客 能 够 制造 入 侵 的 机 会 ， 从 没有 路 的 地 方 走 出 一 条 路 ， 而 是 因为 他 们 善于 发 现 漏 铜 。 即 信息 
网 络 本 吴 的 不 完善 性 和 缺陷 ,成 为 被 攻击 的 目标 或 被 利用 为 攻击 的 途径 ， 其 信息 网 络 的 脆弱 性 引 
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发 了 信息 社会 的 脆弱 性 和 安全 问题 ， 并 构成 了 自然 或 人 为 破坏 的 威胁 。 
1.1.2 ”病毒 发 展 趋势 


随 看 计算 机 网 络 拉 术 的 发 展 。 计算 机 病毒 拉 术 也 在 快速 地 发 展 和 变化 之 中 , 而 且 在 一 定 程度 
上 走 在 了 计算 机 网 络 安全 技术 的 前 面 。 专 家 指出 ， 从 木马 病毒 的 编写 、 传 播 到 出 售 ， 整 个 病毒 产 
业 链 已 经 完全 互联 网 化 。 对 数量 继续 暴 增 的 计算 机 病毒 来 说 ， 防 护 永 远 只 能 是 一 种 被 动 防护 ， 而 
计算 机 感染 上 病毒 后 ， 轻 则 使 系统 工作 效率 下 降 ， 重 则 造成 系统 死机 或 毁坏 ， 使 部 分 文件 或 全 部 
数据 丢失 , 其 至 造成 计算 机 主板 等 部 件 的 损坏 ,导致 便 件 系统 完全 次 痪 。 据 公安 部 调查 结 末 显示 ， 
计算 机 病毒 仍然 呈现 出 异常 活跃 的 态势 ， 互 联网 站 被 大 量 “ 挂 马 ”， 成 为 病毒 木马 传播 的 主要 方 
陈 。 同 时 ， 目 前 计算 机 病毒 、 木 马 等 纸 过 安全 产品 的 扫描 、 碍 杀 其 全 人 破坏 安全 产品 的 能 力也 增强 
了 。 可 见 ， 当 前 计算 机 系统 遭受 病毒 感染 的 情况 相当 严重 。 


1.1.3 ”内 部 威胁 


由 于 网 络 和 计算 机 系统 回 有 的 特性 ,， 它 在 提高 数据 与 设备 共享 性 的 同时 ， 也 蛮 来 了 信息 、 数 
据 被 非法 穷 取 、 复 制 、 使 用 等 贡 端 ， 对 涉及 国家 机 密 及 企业 内 部 敏感 数据 的 安全 管理 形成 极 大 的 
挑战 。 为 防止 数据 外 涝 ， 企 业 往往 不 惜 花 巨 资 购 进 防火 载 、 入 侵 检 测 、 防 病毒 、 漏 洞 扫描 等 网 络 
安全 产品 ， 以 为 这 样 束 可 以 高 枕 无 忧 了 。 其 实 ， 这 种 想法 是 错误 而 且 极 其 危险 的 。fbpi 和 csi 对 
484 家 公司 进行 了 网 络 安全 专项 调查 ， 调 查 结果 显示 : 超过 8$% 的 安全 威胁 来 自 公 司 内 部 。 在 损 
失 金 额 上 ， 由 于 内 部 人 员 汇 密 导 致 了 6056.5 万 美元 的 损失 ， 是 黑客 造成 损失 的 16 倍 ， 是 病毒 造 
成 损失 的 12 倍 。 这 组 数据 充分 说 明了 内 部 人 员 汇 密 的 严重 危害 ， 同 时 也 提醒 国内 组 织 应 加 强 网 
络 内 部 安全 建设 。 上 网 单位 由 于 对 内 部 威胁 认识 不 足 ， 所 采取 的 安全 防范 措施 不 当 ， 导 致 内 部 网 
络 安全 事故 逐年 上 升 。 不 论 是 有 意 的 还 是 偶然 的 ， 内 部 威胁 将 继续 是 一 个 最 大 的 安全 威胁 。 如 果 
网 络 的 安全 集 略 是 未 知 的 或 不 能 执行 的 ， 用户 诸 如 冲浪 不 安全 的 网 站 ,点击 电子 邮件 中 的 恶意 链 
Be, 或 者 不 对 敏感 数据 加 密 等 行为 都 将 继续 不 知 不 觉 地 扮演 着 安全 炸弹 的 角色 。 而 随 着 人 员 的 移 
动 性 越 来 越 强 。 利 用 未 加 密 的 移动 设备 使 用 网 络 也 大 大 增加 “暴露 ”的 风险 ， 给 犯罪 分 子 留 下 可 
乘 之 机 。 男 外 ， 一 机 两 用 其 至 多 用 情况 普 裔 ， 计 算 机 在 内 外 网 之 间 频 繁 切 换 使 用 ， 许多 用 户 将 在 
Internet 网 上 使 用 过 的 计算 机 在 未 经 许可 的 情况 下 擅 目 接 入 内 部 局 域 网 络 使 用 ， 造 成 病毒 的 传 入 
和 信息 的 浊 密 。 公 安 部 调查 结果 显示 ， 攻 击 或 病毒 传播 源 来 目 内 部 人 员 的 比例 同比 增加 了 21%, 
涉及 外 部 人 员 的 同比 减少 了 18%， 说 明 联 网 单位 绝 大 部 分 都 是 出 于 防御 外 部 网 络 攻击 的 考虑 ， 导 
致 来 自 内 部 的 威胁 同时 呈 上 升 态 势 。 通 常 内 部 威胁 会 造成 致命 后 果 。 


1.1.4 自然 灾害 











































































































计算 机 信息 系统 仅仅 是 一 个 智能 的 机 旧 ， 吻 受 目 然 灾 害 及 环境 温度、 温度、 振动 、 冲 击 、 
污染 ) 的 影响 。 目 前 ， 我 们 的 不 少 计算 机 房 并 没有 防震 、 防 火 、 防 水 、 避 埋 、 防 电磁 泄漏 或 干扰 
等 措施 ， 接 地 系统 也 芯 于 周到 若 夸 ， 抵 御 目 然 灾 害 和 意外 事故 的 能 力 较 兰 。 日 冲 工 作 中 因 断 电 而 
设备 损坏 、 数 据 丢 失 的 现象 时 有 发 生 。 由 于 噪音 和 电磁 辐射 ， 导 致 网 络 信 品 比 下 降 ， 误 码 率 增加 ， 
信息 的 安全 性 、 完 整 性 和 可 用 性 受到 威胁 。 
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ERES 各 经 济 大 国安 全 问题 概要 


1. 美国 信息 安全 现状 


据 美 国联 邦 调查 局 统计 ， 美 国 每 年 因 网 络 安全 造成 的 损失 高 达 75 亿美 元 。 据 美国 金融 时 报 
报道 ， 世 界 上 平均 每 20 分 钟 就 发 生 一 次 入 侵 国 际 互 联网 络 的 计算 机 安全 事件 ， 三 分 之 一 的 防火 
省 被 突破 。 美 国联 邦 调查 局 计算 机 犯罪 组 负责 人 吉姆 。 塞 特 尔 称 : 给 我 精 选 10 名 “黑客 ”， 组 
成 小 组 ，90 天 内 我 将 使 美国 队 下 。 一 位 计算 机 专家 坚 不 硅 张 地 说 : 如 条 给 我 一 全 普通 计算 机 、 
一 条 电话 线 和 一 个 调制 解 调 器 ， 束 可 以 令 某 个 地 区 的 网 络 运 行 失常 。 

目前 在 信息 安全 技术 处 于 领先 的 国家 主要 有 美国 、 法 国 、 以 色 列 、 天 国 、 专 寿 、 珊 士 等 , 一 
方面 这 些 国家 在 技术 上 特别 是 在 必 片 技术 上 有 着 一 定 的 历史 沉积 , 男 一 方面 在 这 些 国家 的 信息 安 
全 技术 的 应 用 上 例如 电子 政务 、 企 业 信 息 化 等 起 步 较 早 ， 应 用 比较 广泛 。 其 领先 优势 主要 集中 在 
防火 墙 、 入 侵 监 测 、 漏 洞 扫 描 、 防 杀毒 、 身 份 认 证 等 传统 的 安全 产品 上 。 而 在 注重 防 内 兼顾 防 外 
的 信息 安全 综合 强 审计 上 ， 国 内 的 意识 理念 早 于 国外 ， 产 品 开发 早 于 国外 ， 目 前 在 技术 上 有 一 定 
的 领先 优势 。 

美国 “9.11” 以 后 ， 国 际 网 络 安 全 学 术 人 研究 受到 国际 大 气候 的 有 影响， 围绕 “肥大 ”的 主题 展 
开 了 许多 的 工作 ,但 工作 的 重心 是 以 防止 外 部 黑客 攻击 为 主 。 实 际 上 “ 娩 怖 分 子 ” 大 多 是 在 取得 
合法 的 身份 以 后 再 实施 恶意 攻击 和 破坏 的 。 审计 监控 体系 正 是 以 取得 权限 进入 网 络 的 人 的 操作 行 
为 都 是 不 可 信任 的 为 前 提 假 设 ， 对 所 有 内 部 人 的 操作 行为 进行 记录 、 挖 据 、 分 析 ， 从 而 获得 有 价 
值 信息 的 一 套 安全 管理 体系 ， 目 前 在 国际 上 具有 领先 地 位 。 

构建 可 信 有 的 网 络 , 建设 有 效 的 信息 安全 保障 体系 , 实施 切实 可 行 的 信息 安全 保障 措施 已 经 成 
为 世界 各 国信 息 化 发 展 的 主要 需求 。 信 息 化 发 展 较 高 的 发 达 国 家 ， 非常 重 视 国 家 信息 安全 的 管理 
工作 ， 如 美 、 俄 、 德 、 日 等 国家 都 已 经 或 正在 制订 自己 的 信息 安全 发 展 战 略 和 计划 ， 确 保 信 息 安 
全 治 看 正确 的 方 各 发展 ， 他 们 在 信息 安全 领域 进行 着 积极 有 益 的 探索 。 

美国 的 信息 化 程度 全 球 最 高 , 是 信息 超级 大 国 , 在 信息 技术 的 主导 权 和 网 络 上 的 话语 权 等 方 
面 占据 先天 优势 ， 他 们 在 政府 信息 系统 的 信息 安全 体系 建设 以 及 政策 文 持 方面 也 走 在 全 球 的 前 
列 。 美国 信息 安全 管理 的 最 高 权力 机 构 是 美国 国土 安全 局 , 分 担 信息 安全 管理 和 执行 的 机 构 有 国 
家 安全 局 、 联 邦 调查 局 、 国 防 部 、 商 务 部 等 ， 主 要 根据 相应 的 方针 和 政策 结合 自己 部 门 的 情况 实 
施 信息 安全 保障 工作 。 

美国 国防 部 几乎 影响 了 全 世界 的 信息 安全 概念 、 观 念 和 理念 。1967 F, DOD 开始 研究 计算 
机 安全 问题 ，1977 年 提出 加 强 联邦 政府 和 国防 系统 计算 机 安全 的 倡议 ，1983 年 提出 可 信 计 算 机 
系统 评 个 准则 〈TCSEC) ，1987 年 对 新 发 布 的 《计算 机 安全 法 》 的 执行 情况 进行 部 门 级 评估， 
1997 年 发 布 《国防 部 IT 安全 认证 认可 规程 》 CDITSCAPO ， 该 规程 在 2000 年 由 国家 安全 委员 
会 发 布 为 《国家 信息 保障 认证 和 认可 规程 》 (NIACAP) . HAT, 美国 已 制定 的 有 关 信 息 安全 的 
法 律 有 : 信息 自由 法 、 个 人 隐私 法 、 计 算 机 安全 法 、 电 信 法 、 联 邦 信 息 安 全 管理 法 案 等 ， 形 成 了 
较 完 备 的 信息 安全 保障 体系 。 

2002 年 美国 颁布 的 《联邦 信息 安全 管理 法 案 》  (CFISMAO ， 试 图 通过 采取 适当 的 安全 控制 措 
施 来 保证 联邦 机 构 的 信息 系统 安全 性 ， 是 当前 美国 信息 安全 领域 的 一 个 重要 发 展 计划 。EFISMA 的 
实施 分 为 三 个 阶段 ， 分 别 为 开发 标准 和 指南 (2003 一 2008) 、 形 成 安全 能 力 (2007—20100 和 运用 
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自动 化 工具 (2008—2009) 。 为 了 有 效 地 实现 FISMA 目标 ，FISMA 指定 美国 国家 标准 与 技术 研究 
所 NIST) 开发 和 发 布 相 关 的 标准 、 指 导 方 针 以 及 其 他 出 版 物 ， 帮 助 联 邦 机 构 实现 联邦 信息 安全 
管理 法 案 ， 以 保护 其 信息 和 信息 系统 。 作 为 FISMA 第 一 阶段 的 成 果 ，NIST 提供 了 一 套 有 效 的 信 
县 安全 保障 框架 和 机 制 ,提供 了 保护 信息 和 信息 系统 的 有 效 方法 和 手段 , 促成 了 一 套 全 面 权 威 的 信 
县 安全 标准 体系 ， 其 中 包括 《IT 系统 安全 目 评 估 指 责 》 CSP 800-26) 、《IT 系统 风险 管理 指 两 》 
(SP 800-300 、《 联 邦 IT 系统 安全 认证 和 认可 指南 》 (SP 800-37) 、《 联 邦 信息 和 信息 系统 的 安 
全 分 类 标准 》 (FIPS 199) 、《 联 邦 IT 系统 最 低 安 全 控制 推荐 》 (SP 800-53) 、《 将 各 种 信息 和 
言 息 系 统 映 射 到 安全 类 别 的 指南 》 (SP 800-600 、《IT 产品 国家 配置 清单 项 目 一 一 配置 清单 用 户 
和 开发 者 指南 (草案 ) 》 (SP 800-70 Revision DD. (Draft) 等 多 个 文档 ， 以 风险 管理 思想 为 基础 加 
强 联邦 政府 的 信息 安全 , 对 设计 和 实现 有 效 的 信息 安全 项 目 具 有 十 分 重要 的 意义 。 所 有 美国 联邦 政 
府 机 构 以 及 承包 商 或 其 他 代表 联邦 机 构 的 组 织 所 使 用 或 管理 的 信息 系统 都 被 强制 要 求 遵循 NIST 发 
KAI SP800 系列 、 联 邦 信息 处 理 标准 (FIPS) 文件 ， 以 及 其 他 联邦 信息 系统 的 相关 法 律 条 例 。 

FISMA 第 二 阶段 的 工作 目标 是 要 形成 安全 能 力 ， 通 过 评估 拿 出 符合 性 和 凭据， 美国 国家 标准 
技术 委员 会 发 布 了 若干 个 不 同 的 标准 ， 包 括 150. 150-17 和 7328 等 ， 主 要 目标 就 是 约束 相关 的 
言 息 安全 测评 机 构 ， 需 要 具备 这 样 的 服务 能 力 和 服务 准则 来 为 联邦 相关 机 构 的 信息 系统 进行 测 
评 ， 以 确认 这 些 系统 是 否 符合 信息 安全 管理 法 案 的 要 求 。 

FISMA 最 后 一 个 阶段 的 工作 重点 是 落地 , 其 工作 目标 就 是 , 推动 自动 化 工具 的 使 用 , 从 2009 
年 向 后 的 3-—5 年 的 时 间 里 ， 尽 可 能 地 把 一 些 规范 和 标准 自动 化 、 工 具 化 ， 从 而 配合 安全 运 维 人 
员 更 好 地 工作 。NIST 推出 了 S-CAP 协议 《安全 内 容 自 动 化 协议 ) ， 它 是 一 种 通过 明确 的 标准 化 
的 模式 使 漏洞 管理 、 安 全 监测 和 政策 符合 性 能 够 与 美国 联邦 信息 安全 管理 法 案 一 致 的 方法 。 主 要 
由 六 个 不 同 的 技术 标准 (CCVE, CCE, CPE, XCCDF. OVAL 和 CVSS) 作为 支撑 ， 六 个 不 同 的 
标准 分 别 从 漏洞 、 配 制 、 系 统 脆弱 性 的 统一 命名 ， 包 括 脆弱 性 严重 性 的 评分 标准 ， 安 全 检查 的 步 
又 ,检查 项 目 及 检查 报告 等 各 个 方面 进行 有 效 地 设 定 ， 从 而 保证 后 期 的 工具 、 软 件 开发 厂商 能 够 
有 一 个 明确 可 落地 的 标准 进行 参考 。 在 S-CAP 的 基础 上 由 美 联 邦 政府 牵头 针对 一 些 联 邦 政府 的 
桌面 主机 开展 了 一 个 FDCC 的 安全 项 目 ， 专 门 对 Windows 系统 主机 的 安全 漏洞 和 安全 配置 进行 
检查 的 标准 ， 并 由 安全 厂商 开发 了 对 应 的 FDCC Scanner 设备 进行 自动化 的 检查 ， 而 FDCC 也 为 
通过 FDCC 认证 的 Scanner 颁发 证 书 。 

2007 年 ， 美 国 IT 投资 650 亿美 元 ， 安 全 投资 59 亿美 元 ， 占 9.2%; 2009 年 美国 将 加 大 政府 
信息 系统 安全 投入 ，IT 文 出 达到 709 亿美 元 ， 其 中 的 10.3%， 即 总 额 约 73 亿美 元 将 用 于 提高 IT 
ATIE: 

2. 俄罗斯 信息 安全 现状 


俄罗斯 十 分 重视 信息 安全 的 作用 , 时 时 处 处 以 信息 安全 危机 来 著 菏 、 督 促 各 单位 把 信息 安全 
工作 做 得 更 好 。 从 法 令 、 机 构 人 员 、 资 金 、 技 术 、 管 理 等 角度 全 方位 给 信息 安全 检查 工作 予以 文 
持 和 保障 。 政 府 发 布 了 许多 有 关 信 息 安全 的 法 律 法 规 。 例 如 1995 年 ， 俄 罗斯 宪法 把 信息 安全 纳 
入 国家 安全 管理 范围 ， 颁 布 了 《联邦 信息 、 信 息 化 和 信息 网 络 你 护法 》， 强 调 国 家 在 建立 信息 资 
源 和 信息 网 络 化 中 的 责任 ，1997 年 的 《俄罗斯 国家 安全 构想 》 明 确 提 出 保障 国家 安全 应 把 保障 
经 济 安全 放 在 第 一 位 ， 而 信息 安全 又 是 经 济 安全 的 重 中 之 重 。2002 年 ， 俄 罗斯 安全 委员 会 通过 
《国家 信息 安全 学 说 》， 明 确 了 联邦 信息 安全 建设 的 目的 、 任 务 、 原 则 和 主要 内 容 ， 对 国家 信息 
网 络 安 全 面临 的 问题 及 信息 网 络 战 武 占 北 备 现 状 、 友 展 前 景 和 防御 方法 每 进行 了 详尽 的 论述 ， 痢 

























































































































































































第 1 章 
知 彼 ， 企业 信息 安全 现状 剖析 EENNEEERENN 








明了 俄罗斯 在 信息 网 络 安全 方面 的 立场 、 观 点 和 基本 方针 ， 提 出 在 该 领域 实现 国家 利益 的 手段 和 
相关 措施 。 第 一 次 明确 指出 俄罗斯 在 信息 领域 的 利益 是 什么 、 受 到 的 威胁 是 什么 以 及 为 确保 信息 
安全 所 要 采取 的 措施 等 。 

随 独 全 球 信息 化 步伐 的 加 快 ,俄罗斯 对 国家 信息 安全 的 重视 程度 日 蔓 提 高 ,信息 网 络 安全 已 
纳入 国家 安全 战略 。 普 各 总 统 强 调 : “信息 资源 和 信息 基础 设施 已 经 成 为 争夺 世界 领先 地 位 的 舞 
合 ， 未 来 的 政治 和 经 济 将 取决 于 信息 资源 。 因 此 ， 解 决 这 方面 的 问题 ， 对 国家 的 前 途 、 国 家 利益 
和 国家 安全 至 关 重 要 。” 

俄罗斯 建立 了 完善 的 信息 保护 国家 系统 , 通过 执行 俄罗斯 联邦 总 统 直 管 的 国家 技术 委员 会 条 
例 ， 保 证 信息 保护 领域 的 国家 统一 政策 ， 同 时 兼顾 国家 、 社 会 和 个 人 利益 的 均衡 。 俄 罗斯 联邦 政 
府 从 信息 安全 、 经 济 安全 、 国 防 安全 、 生 态 安全 和 社会 安全 几 个 方面 入 手 ， 将 信息 安全 策略 分 为 
全 权 安 全 政策 和 选择 性 安全 政策 两 类 ， 提 出 了 主客 体 分 级 访问 的 构想 来 控制 存 取 访问 ， 即 : 只 有 
当主 体 的 现时 安全 能 力 不 低 于 客体 临界 标记 时 ， 信 息 方 可 “加 上 ”传输 。 

俄罗斯 联邦 政府 联络 与 情报 局 为 俄罗斯 联邦 国家 政权 机 天 建立 了 因特网 网 段 一 一 RGIN 
(Russian Government Internet Network) 。 他 们 在 保障 信息 安全 方面 还 做 了 大 量 的 工作 。 首 先 建成 

局 效 安全 的 “ 阿 特 拉 斯 ”数据 传输 ， 人 确 你 俄罗斯 联邦 各 主体 行政 中 心 之 间 文 件 的 网 络 传输 ， 在 
最 高 国家 机 关 安 装 了 保障 加 密 数 据 交 换 的 技术 设备 , 解决 了 该 系统 与 国内 其 他 通信 网 协同 的 技术 
诛 题 。 然 后 他 们 还 确立 了 《计算 机 系统 安全 评估 标准 》、《 产 品 安全 评估 软件 》 等 一 系列 完善 的 
系统 安全 评 佑 指标。 同时， 建立 了 联邦 经 济 信息 保护 中 心 ， 负 责 政 府 网 络 及 其 他 的 专门 网 络 、 网 
络 信息 配套 保护 、 国 家 政权 机 关 信 息 技 术 的 保障 等 。 

俄罗斯 在 发 展 信息 安全 技术 上 坚持 目 主 创新 、 目 成 体系 。 强 调 数学 模型 与 论证 发 挥 目 动 控制 
理论 的 作用 。 注 重心 族 和 操作 系统 的 研发 。 俄 罗斯 的 必 片 设计 技术 独 具 风 格 ， 目 前 已 达到 世界 领 
先 水 平 。 操作 系统 是 俄罗斯 大 学 和 科研 机 构 重 点 攻关 的 诬 题 。 如 革 彼 得 堡 技术 大 学 已 研制 了 目 主 
安全 内 核 的 高 安全 等 级 操作 系统 ,不 受 病 毒 和 黑客 的 侵犯 ， 是 在 安全 的 数学 模型 基础 上 进行 开发 
的 。 在 与 国外 产品 兼容 上 只 局 限于 外 层 的 功能 调用 ， 内 核 是 目 己 的 。 

此 外 ,俄罗斯 联邦 政府 在 保 隐 财政 信贷 和 银行 领域 信息 安全 方面 做 了 大 量 的 工作 。 中 央 银 行 
系统 研究 了 保护 信息 处 理 技术 设备 的 问题 ,积极 推广 使 用 有 安全 保护 的 信息 技术 和 网 络 技术 。 在 
加 密 领 域 , 窄 码 学 院 从 事 看 加 秘技 术 的 研究 工作 , 看 力 加 强 光 纤 通 信 加 密 和 量子 加 密 方 面 的 研究 。 

3. 德国 信息 安全 现状 


德国 是 欧洲 头号 经 济 大 国 ， 也 是 仅 次 于 美国 、 日 本 的 世界 第 三 经 济 强国 。 通 过 制定 和 实施 信 
县 化 发 展 战 略 ， 德 国信 息 化 获得 了 较 快 的 发 展 。 德 国 在 信息 安全 方面 是 欧洲 的 典范 ， 其 主要 做 法 
包括 以 下 三 方面 。 

一 是 有 明确 的 页 任 部 门 。 德 国有 联邦 经 济 和 务工 部 下 属 的 联邦 电信 和 邮政 总 局 主要 负 贡 联邦 电 
言 基础 设施 的 安全 维护 工作 ; 内 政 部 和 其 下 属 联邦 信息 安全 普 主 要 负责 信息 技术 应 用 方面 的 安全 
问题 ， 如 互联 网 安全 管理 、 防 病毒 入 侵 和 应 急 处 理 计算 机 问题 等 。 联邦 安 全 署 还 负责 对 互联 网 进 
行内 容 监管 ,对 需要 路 部 门 协调 的 工作 制定 统一 的 方案 。 联 邦 内 政 部 下 属 的 联邦 信息 安全 普 设 有 
计算 机 紧急 反应 小 组 ， 提 供 每 天 24 小 时 的 “应 急 服 务 ”， 解 决 互联 网 的 安全 问题 ， 防 止 计算 机 
病毒 和 网 络 攻击 。 联 邦 政府 专门 成 立 联邦 信息 安全 办 公 室 ， 负 责 处 理 信息 安全 方面 的 扩 术 问题 。 

二 是 重视 运用 法 律 手段 。 德 国联 邦 经 济 和 玫 工 部 下 属 的 联邦 电信 和 邮政 总 局 在 为 德国 联邦 其 
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他 部 门 提供 基础 电信 服务 的 同时 ， 还 负责 起 草 和 制定 《电信 法 》 和 《数字 签名 法 》 等 法 律 ， 并 协 
调 联邦 政府 各 部 门 有 效 使 用 数字 签名 来 保障 信息 安全 。 联邦 政府 制定 了 具体 的 计划 和 措施 加 强 互 
联网 上 的 安全 ， 包 括 颁 布 了 《电子 签名 法 》 和 《电子 商务 法 》。 

三 是 综合 运用 相关 技术 措施 。 德国 联邦 政府 为 加 强 信 息 安 全 米 取 了 一 系列 的 撞 施 , 包括 重大 
基础 设施 的 保护 ,增强 社会 各 界 的 信息 安全 意识 ， 通 过 设立 安全 门户 网 站 为 企业 和 个 人 提供 相关 
信息 和 安全 工具 ， 增 强 互联 网 上 的 信息 安全 ， 开 展 信息 安全 认证 ， 推 广 新 的 安全 技术 , 5 IT fe 
业 合作 开展 安全 拉 术 趋势 研究 ， 大 力 研 发 和 使 用 密码 技术 、 安 全 可 徘 的 构件 和 生物 识别 技术 等 。 


4. 日 本 信息 安全 现状 


日 本 自 2001 年 1 月 《IT 基本 法 》 颁 布 以 来 ， 在 根据 该 法 制订 的 每 一 年 重点 发 展 计划 中 ,对 电子 
政府 以 及 电子 政务 相关 的 具体 内 容 都 做 出 了 规定 ， 针 对 计算 机 网 络 信息 安全 对 策 的 体制 ， 专 门 制订 
了 一 套 相应 的 规则 。 以 制订 一 引入 一 运用 一 评价 一 修正 的 模式 ， 循 环 往复 周期 运行 ， 针 对 风云 变幻 
的 计算 机 信息 安全 领域 出 现 的 新 问题 ， 进 行 及 时 有 效 的 应 对 ， 可 以 说 是 一 个 值得 称道 的 运作 模式 。 

日 本 中 央 政 府 各 个 部 委 基于 对 政府 信息 系统 的 安全 问题 考虑 ， 要求 结合 本 单位 、 本 部 门 的 具 
体 特点 ， 考 虑 制定 相应 的 规则 、 办 法 。 

为 了 确保 信息 安全 制度 的 有 效 实施 , 日 本 政府 设立 了 相应 的 信息 安全 机 构 , 明确 了 包括 信息 
安全 中 心 、 政 府 各 个 部 委 在 内 的 多 个 机 构 的 职责 。 日 本 政府 要 求 政府 的 各 个 部 委 应 当 依法 加 强 对 
计算 机 信息 安全 的 管理 与 控制 , 防止 利用 政府 的 计算 机 系统 对 其 他 的 计算 机 系统 进行 恶意 攻击 事 
件 的 发 生 。 为 了 进一步 提高 日 本 的 计算 机 信息 安全 水 平 ， 要 求 政府 不 断 加 强 与 民间 团体 、 企 业 研 
究 机构 之 间 的 信息 交换 ， 建 立 官民 紧密 协作 、 联 动 的 合作 体制 。 

日 本 总 理 府 办 公 厅 信息 安全 中 心 负责 制定 《政府 机 关 关 于 信息 安全 的 统一 基准 》， 要 求 各 个 
部 委 应 当 结 合 本 部 门 计算 机 信息 安全 有 具体 规则 实施 的 情况 、 特 点, 对 来 自 外 部 网 络 的 计算 机 技术 
性 的 威胁 等 情况 ， 进 行 持续 不 间断 的 研究 、 评 价 ， 在 此 基础 上 制定 相应 的 规则 。 

在 计算 机 信息 安全 规则 的 制定 中 ， 从 组 织 机 构 、 基 本 方针 的 设 定 、 风 险 的 预测 、 对 策 基准 的 
制定 、 信 息 的 分 类 及 管理 、 违 反 信 息 安全 行为 的 应 对 措施 几 个 方面 提出 了 具体 要 求 。 

对 在 业务 中 存在 违反 信息 安全 行为 的 情形 , 提出 了 有 必要 建立 依据 上 级 的 指示 , 直接 命令 其 
停止 使 用 网 络 终端 机 器 的 体制 。 


5. 我 国信 息 安全 现状 


据 了 解 ， 从 1997 年 底 至 今 ， 我 国 的 政府 部 门 、 证 券 公 司 、 银 行 等 机 构 的 计算 机 网 络 相 继 遭 到 多 
次 攻击 。 公 安 机 关 受 理 各 类 信息 网 络 违法 犯罪 案件 过 年 剧 增 ， 尤 其 以 电子 邮件 、 特 洛 伊 木马 、 文 件 
共 圣 等 为 传播 途径 的 混合 型 病毒 愈 演 钝 烈 。 由 于 我 国 大 量 的 网 络 基 础 设施 和 网 络 应 用 依赖 于 外 国 的 
产品 和 技术 ， 在 电子 政务 、 电 子 商务 和 各 行业 的 计算 机 网 络 应 用 疝 处 于 发 展 阶段 ， 以 上 这 些 领 域 的 
大 型 计算 机 网 络 工程 都 由 国内 一 些 较 大 的 系统 集成 商 负责 。 有 些 集成 商 仍 缺乏 足够 专业 的 安全 文 撑 
技术 力量 ， 同 时 一 些 负责 网 络 安全 的 工程 撤 术 人 员 对 许多 潜在 风险 认识 不 足 ， 缺 乏 必 要 的 技术 设施 
和 相关 处 理 经 验 ， 面 对 形 努 日 益 严 峻 的 现状 ， 很 多 时 候 都 显得 有 些 力不从心 。 也 正 是 由 于 受 撤 术 条 
件 的 限制 ， 很 多 人 对 网 络 安全 的 意识 仅 俘 留 在 如 何 防范 病毒 阶段 ， 对 网 络 安 全 缺乏 整体 意识 。 

我 国 己 初步 建成 国家 信息 安全 组 织 保 隐 体 系 。 国 务 院 信 息 办 专门 成 立 了 网 络 与 信息 安全 领导 
小 组 ， 各 省 、 市 、 目 治 州 也 设立 了 相应 的 管理 机 构 。2003 年 9 月 ， 中 共 中 央 办 公 厅 、 国 务 院 办 
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公 打 转发 的 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 〈 简 称 27 号 文 ) ， 将 信 
居 安 全 提 到 了 促进 经 济 发 展 、 维 护 社 会 稳定 、 你 障 国家 安全 、 加 强 精神 文明 建设 的 高 上 度 ， 并 提出 
了 “积极 防御 ， 综 合 防 范 ” 的 信息 安全 管理 方针 。2004 年 9 月 15 日 ， 由 公安 部 、 国 家 保密 局 、 
国家 密码 管理 局 和 国信 办 联合 下 发 的 《关于 信息 安全 等 级 保护 工作 的 实施 意见 》 (66 号 文件 ) 
明确 了 实施 等 级 保护 的 基本 做 法 。2007 年 6 月 22 日 又 由 四 部 委 联 合 下 发 《信息 安全 等 级 保护 管 
理 办 法 》 (43 号 文件 ) ， 规 范 了 信息 安全 等 级 保护 的 管理 。2007 年 我 国 基 本 完成 了 重要 信息 系 
统 和 基础 信息 网 络 的 等 保定 级 ， 等 级 保护 工作 即将 进入 建设 整改 阶段 。 

制定 和 引进 了 一 批 重要 的 信息 安全 管理 标准 ， 包 括 : 《计算 机 信息 系统 安全 保护 等 级 划分 准 
则 》 (GB 17895 一 1999) 、《 信 息 安全 技术 信息 系统 安全 管理 要 求 》 CGB/T20269—2006) 、 
《信息 安全 技术 信息 系统 安全 工程 管理 要 求 》 CGB/T20281—20060 、《 信 息 安全 技术 信息 系 
统 安全 等 级 保护 基本 要 求 》 (GB/T 22239 一 2008) 、《 信 息 安全 技术 信息 系统 安全 等 级 保护 定 
级 指责》 (GB/T 22240 一 2008) . 《信息 安全 管理 实施 细则 》 〈ISO17799:2005) 和 《信息 安全 
管理 体系 要 求 》 (ISO27001:2005) 等 。 

制定 了 一 系列 必需 的 信息 安全 管理 的 法 律 法 规 。 从 20 世纪 90 年 代 初 起 , 为 配合 信息 安全 管 

理 的 需要 ， 国 家 相关 部 门 、 行 业 和 地 方 政 府 相继 制定 了 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联 
网 管理 暂行 规定 》、《 商 用 密码 管理 条 例 》、《 互 联网 信息 服务 管理 办 法 》、《 计 算 机 信息 网 络 
国际 联网 安全 保护 管理 办 法 》、“《 电 子 签名 法 》 等 有 关 信 息 安 全 管理 的 法 律 法 规 文件 。 

开展 了 信息 安全 风险 评估 工作 ， 并 作为 信息 安全 管理 的 核心 工作 之 一 ， 由 国家 信息 中 心 组 织 

后 对 四 个 地 区 《北京 、 广 州 、 深 圳 和 上 海 ) ， 十 几 个 行业 的 50 多 家 单位 进行 了 深入 细致 的 调查 与 研 

究 ， 最 终 形成 了 《信息 安全 风险 评估 调查 报告 》、《 信 息 安 全 风险 评估 研究 报告 》 和 《关于 加 强 信 

县 安全 风险 评估 工作 的 建议 》。 制定 了 《信息 安全 技术 信息 安全 风险 评估 规范 》(CGB/T 20984—2007) 。 
目前 我 国 在 信息 安全 方面 存在 的 问题 主要 如 下 。 

a ”信息 安全 管理 比较 混乱 ,缺乏 国家 层面 上 权威 、 统 一 的 整体 组 织 和 策略 ， 缺 乏 专门 的 
组 织 、 规 划 、 管 理 和 实施 协调 的 立法 管理 机 构 ， 执 法 主体 不 明确 ， 多 头 管 理 ， 规 则 剖 
突 ， 可 操作 性 兰 ， 执 行 难 上 度 较 大 。 实 际 管理 、 政 策 执 行 和 监 琶 力度 不 够 。 

a ”具有 我 国 特 点 的 、 动 态 的 和 涵盖 组 织 机 构 、 文 件 、 控 制 措施 、 操 作 过 程 和 程序 及 相关 
资源 等 要 素 的 信息 安全 管理 体系 尚未 建立 起 来 。 为 了 推动 等 级 保护 工作 的 持续 发 展 和 
深化 落实 ， 我 们 急需 提出 清晰 的 等 级 保护 工作 和 标准 体系 ， 准 备 好 评估 检查 的 能 力 。 

a 共有 我 国 特点 的 信息 安全 风险 评 佑 标准 体系 有 待 完善， 信息 安全 的 需求 过 于 抽象 ， 缺 
乏 系统 、 全 面 的 信息 安全 风险 评估 和 评价 体系 ， 以 及 全 面 、 完 善 的 信息 安全 保 隐 体系 。 

mn 信息 安全 意识 缺乏 ， 普 所 存在 重 产 品 、 轻 服务 ， 重 技术 、 轻 管理 的 思想 。 

a 专项 经 费 投 入 不 足 ， 管 理 人 才 缺 乏 ， 基 础 理论 和 关键 技术 研究 、 标 准 制 定 能 力 薄 弱 ， 
严重 依靠 国外 ， 在 国际 上 缺乏 话语 权 。 

a 整体 安全 防范 技术 水 平 低下 ， 尤 其 是 核心 技术 方面 (如 : CPU 和 操作 系统 ) ， 技 术 创 
新 不 够 ， 信 息 安 全 管理 产品 水 平和 质量 不 高 。 

a 缺乏 支撑 信息 安全 管理 标准 落地 的 有 效 手 段 。 

总 的 来 说 , 我 国信 息 系 统 的 安全 现状 不 容 乐 观 , 信息 系统 存在 很 多 安全 隐患。 与 西方 发 达 国 

家 相 比 ， 我 国 的 信息 安全 起 步 较 晚 ， 政 府 部 门 和 民众 对 网 络 认识 不 深 ,， 政府 部 门 对 信息 系统 安全 
的 重视 程度 不 够 ， 安 全 意识 淡薄 ， 信 息 系统 的 网 络 与 信息 安全 防护 能 力 仍 处 于 “初级 阶段 ”， 甚 

























































































































































































防线 
O 企业 Linux 安全 运 维 理念 和 实 站 


全 许多 外 网 网 站 处 于 “不 设防 ”状态 。 
13 企业 面临 的 主要 信息 安全 威胁 


1.3.1 扫描 


对 位 于 网 络 中 的 计算 机 系统 来 说 ， 一 个 站 口 束 是 一 个 潜在 的 通信 通道 ， 也 就是 一 个 入 侵 通 道 。 
对 目标 计算 机 进行 端口 扫描 ， 能 得 到 许多 有 用 的 信息 ， 从 而 发 现 系统 的 安全 漏洞 。 通 过 其 可 以 使 系 
统 用 户 了 解 系统 目前 问 外 界 提 供 了 哪些 服务 ， 从 而 为 系统 用 户 管理 网 络 提供 了 一 种 参考 手段 。 
从 技术 原理 上 来 说 ， 端 口 扫 描 向 目标 主机 的 TCP/UDP 服务 端口 发 送 探测 数据 包 ， 并 记录 目 
标 主 机 的 响应 。 通 过 分 析 响 应 来 
判断 服务 端口 是 打开 还 是 关闭 ， 
残 可 以 得 知 妆 口 提供 的 服务 或 1 发送 探 测 数 据 亿 
信息 ， 如 图 1-2 所 示 。 端 口 扫 
描 也 可 以 通过 捕获 本 地 主机 或 
服务 器 的 流入 流出 IP 数据 包 来 
监视 本 地 主机 的 运行 情况 ,不 仅 
能 对 接收 到 的 数据 进行 分 析 , 而 
且 能 够 帮助 用 户 发 现 目 标 主机 
的 某 些 内 在 的 弱点 , 而 不 会 提供 
进入 一 个 系统 的 详细 步骤 。 
一 般 来 说 ， 端 口 扫 摘 的 目的 通 问 是 以 下 一 项 或 者 多 项 。 
a KMNO: 发 现 目标 系统 上 开放 的 TCP 或 UDP hH o 
a 了解 主 机 操作 系统 信息 : 端口 扫描 可 以 通过 操作 系统 的 “指纹 ”来 推测 被 扫描 操作 系 
统 或 者 应 用 程序 的 版 本 等 信息 。 
" 了解 软件 或 者 服务 版 本 : 软件 或 服务 版 本 可 以 通过 “标志 获取 ”或 者 应 用 程序 的 指纹 
来 识别 获得 。 
a ”发 现 脆弱 的 软件 版 本 : 识别 软件 和 服务 的 缺陷 ， 从 而 有 助 于 发 起 针对 漏洞 的 攻击 。 
疹 口 扫 摘 主要 有 经 典 的 扫 摘 堪 〈 全 连接 ) 以 及 所 谓 的 SYN CEEI) dd. H6) IRI 
接 扫描 和 秘密 扫 朱 等 。TCP 扫 摘 方式 是 通过 与 被 扫描 主机 建立 标准 的 TCP 连接 ， 因 此 这 种 方式 
最 准确 ， 很 少 漏 报 、 误 报 ， 但 是 容易 被 目标 主机 察觉 、 记 录 。SYN 方式 是 通过 与 目标 主机 建立 
半 打 开 连 接 ， 这 样 就 不 容易 被 目标 主机 记录 ， 但 是 扫描 结果 会 出 现 漏 报 ,在 网 络 状 况 不 好 的 情况 
下 这 种 漏 报 是 严重 的 。 


1.3.2 ”特洛伊 木马 
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RE DUK USC T e dBSRHEBUKT ILR 1-30 ， 传 说 布 脂 人 围攻 特洛伊 城 ， 和 久久 不 
得 手 。 后 来 想 出 了 一 个 木马 计 ， 让 士兵 藏匿 于 巨大 的 木马 中 。 大 部 队 假 猴 撤退 而 将 木马 扰 痉 于 
竺 洛 伊 城 ,让 政 人 将 其 作为 战利品 拖 入 城内 。 隐 藏 在 木 瑟 内 的 士兵 则 乘 夜 晚 政 人 庆 视 胜利 、 帮 松 
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警惕 的 时 候 从 木马 中 扑 出 来 ， 与 城 外 的 部 队 里 应 外 合 而 攻 下 了 特洛伊 
城 。 
在 计算 机 网 络 安 全 领域 ,特洛伊 木马 通常 是 指 一 个 包含 在 合法 程 
序 中 的 非法 程序 。 访 非法 程序 被 用 户 在 不 知情 的 情况 下 执行 。 一 般 的 
木马 都 有 客户 端 和 服务 器 问 两 个 执行 程序 ， 其 中 客户 问 是 用 于 攻击 者 
远程 控制 植 入 木马 的 机 器 ， 服 务 器 端 程序 即 是 木马 程序 。 攻 击 者 要 通 
过 木马 攻击 系统 ， 它 所 做 的 第 一 步 是 要 把 木马 的 服务 器 病程 序 植 入 到 
被 攻击 用 户 的 电脑 中 。 图 1-3 ”特洛伊 木马 图 示 
目前 木马 入 侵 的 主要 途径 还 是 先 通过 一 定 的 方法 把 木马 执行 文 
件 存 入 到 被 攻击 者 的 电脑 系统 里 ， 如 邮件 、 下 载 等， 然后 通过 一 定 的 提示 ， 故 意 误 导 补 攻击 者 打 
开 执 行文 件 ， 比 如 故意 诱 称 这 是 个 木马 执行 文件 用 户 朋 友 送 给 的 咒 卡 ， 当 用 户 打 开 这 个 文件 后 ， 
确实 有 次 卡 的 画面 出 现 ， 但 这 时 木马 可 能 已 经 悄悄 地 在 被 攻击 者 的 后 台 运 行 了 。 
一 般 的 木马 执行 文件 非常 小 , 大 都 是 几 KB 到 几 十 KB, 如 果 把 木马 捆绑 到 其 他 正常 文件 上 ， 
你 很 难 发 现 的 ， 所以， 一 些 网 站 提供 的 软件 下 载 往往 拥 绑 了 木马 文件 ， 在 用 户 执行 这 些 下 载 的 文 
件 时 ， 也 同时 运行 了 森马。 木马 也 可 以 通过 Script. ActiveX 及 ASP, CG 交互 脚本 的 方式 植 入 ， 
木马 在 被 植 入 攻击 主机 后 ， 一 般 会 通过 一 定 的 方式 把 入 侵 主 机 的 信息 ， 如 主机 的 卫 地 址 、 木 马 
植 入 的 端口 等 发 送 给 攻击 者 ， 当 攻击 者 获得 这 些 信 息 后 就 能 够 与 木马 里 应 外 合 控 制 攻击 主机 。 
在 早期 的 木马 里 面 , 大 多 都 是 通过 发 送 电子 邮件 的 方式 将 入 侵 主 机 信息 告诉 攻击 者 的 , 有 一 
些 木马 文件 干脆 把 主机 所 有 的 密码 用 邮件 的 形式 通知 给 攻击 者 , 这 样 攻击 者 就 不 用 直接 连接 攻击 
主机 即 可 获得 一 些 重要 数据 ， 如 攻击 OICQ 密码 的 GOP 木马 即 是 如 此 。 使 用 电子 邮件 的 方式 对 
攻击 者 来 说 并 不 是 最 好 的 一 种 选择 ， 因 为 如 果木 马 被 发 现 ,可 以 通过 这 个 电子 邮件 的 地 址 找 出 攻 
击 者 。 现 在 还 有 一 些 木 马 采 用 的 是 通过 发 送 UDP 或 者 ICMP 数据 包 的 方式 通知 攻击 者 。 
木马 主要 有 以 下 几 种 类 型 ， 用 户 须 多 加 注意 。 
a ”人 破坏 型 。 惟 一 的 功能 就 是 破坏 并 且 删 除 文 件 , 可 以 自动 地 删除 电脑 上 的 DLL, INI, EXE 
Da 

a ”密码 发 送 型 。 可 以 找到 隐藏 密码 并 把 它们 发 送 到 指定 的 信箱 。 有 人 喜欢 把 自己 的 各 种 
密码 以 文件 的 形式 存放 在 计算 机 中 ， 认 为 这 样 方便 ， 还 有 人 喜欢 用 Windows 提供 的 密 
码 记 忆 功 能 ， 这 样 就 可 以 不 必 每 次 都 输入 密码 了 。 许 多 黑客 软件 可 以 寻找 到 这 些 文件 ， 
把 它们 送 到 黑客 手中 。 也 有 些 黑 客 软 件 长 期 潜伏 ， 记 录 操 作者 的 键盘 操作 ， 从 中 寻找 
有 用 的 密码 。 

a 远程 访问 型 。 最 广泛 的 是 特洛伊 马 ， 上 只 要 有 人 运行 了 服务 病程 序 ， 如 果 客 户 知 道 了 服 
务 端 的 IP 地 址 ， 束 可 以 实现 远程 控制 。 这 类 远程 控制 程序 可 以 实现 监控 被 攻击 者 在 系 
统 中 的 一 举 一 动 ， 人 危害 非常 大 ， 比 如 早 些 年 一 直流 行 的 “冰河 ”木马 软件 。 这 类 程序 
多 数 采 用 UDP 协议 ， 是 因特网 上 广泛 采用 的 通信 协议 之 一 。 与 TCP 协议 不 同 ， 它 是 一 
种 非 连接 的 传输 协议 ， 没 有 确认 机 制 ， 可 靠 性 不 如 TCP， 但 其 效率 却 比 TCP 高， 因此 
其 用 于 远程 屏幕 监视 还 是 比较 适合 的 。 

a 键盘 记录 木马 。 这 种 特洛伊 木马 非常 简单 ， 通 常 只 完成 一 件 事情 ， 束 是 记录 被 攻击 者 
的 键盘 敲 击 并 且 在 相应 的 日 志文 件 里 查找 密码 。 这 种 特洛伊 木马 随 着 系统 的 局 动 而 启 
动 ， 有 在 线 和 离线 记录 这 样 的 选项 ， 分 别 记录 被 攻击 用 户 在 线 和 离线 状态 下 敲 击 键盘 
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1.3.3 





时 的 按键 情况 。 从 这 些 按键 中 ， 木 马 植 入 者 可 以 很 容易 地 得 到 被 攻击 者 的 密码 等 有 用 
言 上 号， 甚 全 信用 卡 账 号 。 当 然 ， 对 于 这 种 类 型 的 森马， 邮件 发 送 功能 也 是 必 不 可 少 的 。 
Dos 攻击 木马 。 随 着 Dos 攻击 越 来 越 广泛 的 应 用 ， 被 用 作 Dos 攻击 的 木马 也 越 来 越 流 
行 起 来 。 当 攻击 者 成 功 入 侵 了 一 台 机 器 ， 他 通常 会 给 这 台 机 器 种 上 Dos 攻击 木马 ， 那 
么 日 后 这 全 计算 机 束 成 为 攻击 者 实行 Dos 攻击 的 最 得 力 助 手 了 。 攻 击 者 控制 的 肉鸡 数 
ERZ, MARR Dos 攻击 取得 成 功 的 机 座 束 越 大 。 所 以 ， 这 种 木马 的 危害 不 是 体 
现在 被 感染 计算 机 上 ， 而 是 体现 在 攻击 者 可 以 利用 其 来 攻击 一 台 叉 一 台 计 算 机 、 给 网 
络 造成 很 大 的 伤害 和 和 带 来 损失 上 。 还 有 一 种 类 似 Dos 的 木马 叫做 邮件 炸弹 森马， 一旦 
机 器 被 感染 ， 木 马 整 会 随机 生成 各 种 各 样 主题 的 信件 ， 对 特定 的 邮箱 不 停 地 发 送 邮 件 ， 
一 直到 对 方 次 痪 ， 不 能 接受 邮件 为 止 。 

代理 木马 。 黑 客 在 入 侵 的 同时 掩盖 自己 的 足迹 ， 认 防 别人 发 现 上 自己 的 身份 是 非常 重要 
的 ， 因 此 ， 给 被 控制 的 “肉鸡 ”种 上 代理 木马 ， 让 其 变 成 攻击 者 发 动 攻 击 的 跳板 瓯 是 
代理 木马 最 重要 的 任务 。 通 过 代理 木马 ,攻击 者 可 以 在 匿名 的 情况 下 使 用 Telnet. ICQ. 
IRC 等 程序 ， 从 而 隐蔽 上 自己 的 踪迹 。“ 肉 鸡 ” 是 指 被 黑客 专门 用 来 描述 Internet 上 那些 
防护 性 差 、 易 于 被 攻破 而 且 控 制 的 计算 机 。 

FTP 木马 。 这 种 木马 可 能 是 最 简单 和 古老 的 木马 了 ， 其 惟一 的 功能 束 是 打开 21 端口 ， 
等 竺 用户 连接 。 现 在 新 FTP 木马 还 加 上 了 密码 功能 ， 这 样 ， 只 有 攻击 者 本 人 才 知 道 正 
确 的 密码 ， 从 而 进入 对 方 的 计算 机 。 

程序 杀手 木马 。 上 面 介 绍 的 木马 功能 虽然 形形色色 ， 不 过 到 了 对 方 机 器 上 要 发 挥 自 己 
的 作用 , 还 要 首先 给 避 防 木马 软件 的 查 杀 这 一 关 才 行 ,常见 的 防 木 马 软 件 有 ZoneAlarm、 
Norton Anti-Virus 和 等。 程序 杀手 木 蕊 的 功能 束 是 关闭 对 方 机 器 上 运行 的 这 类 防 木 马 程 
序 ， 让 其 他 的 木马 更 好 地 发 挥 作用 。 

反弹 端口 型 木马 。 木 号 开 友 者 在 分 析 了 防火 墙 的 特性 后 发 现 ， 防火 场 对 于 连 入 的 连接 
往往 会 进行 非常 严格 的 过 小， 但 是 对 于 连 出 的 连接 却 玖 于 防范 。 于 是 ， 与 一 般 的 木马 
相反 ， 反 弹 端 口 型 木马 的 服务 病 〈 补 控制 庙 ) 使 用 主动 并 口 ， 客 户 问 (控制 问 ) 使 用 
和 梓 动 奖 口 。 木 马 定 时 监测 控制 病 的 存在 ， 发 现 探 制 交 上线 立 即 弹出 妆 口 主动 连接 控制 
闪 打 开 的 主动 端口 ;为 了 隐蔽 起 见 ， 探 制 端的 被 动 端口 一 般 开 在 80， 即 使 用 户 使 用 扫 
描 软 件 检查 自己 的 端口 ， 发 现 类 似 TCP UserIP: 3020 ControllerIP:80ESTABLISHED 的 
情况 ， 稍 微 巩 急 一 点 ， 了 驶 会 以 为 是 目 己 在 浏览 网 页 。 


拒绝 服务 攻击 和 分 布 式 拒绝 服务 攻击 

















































































































1. DoS 攻击 


DoS 的 英文 全 称 是 Denial of Service， 也 束 是 “拒绝 服务 ”的 意思 。 从 网 络 攻击 的 各 种 方法 
和 上 所 产生 的 破坏 情况 来 看 Dos 是 一 种 很 简单 但 又 很 有 效 的 进攻 方式 。 其 目的 就 是 拒绝 用 户 的 服 
务 访 问 ， 人 破坏 服务 器 的 正音 运行 ， 最 终 会 使 用 户 的 部 分 Internet 连接 和 网 络 系 统 失效 ， 如 图 1-4 
所 示 。DoS 的 攻击 方式 有 很 多 种 ， 最 基本 的 DoS 攻击 怠 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服 
务 资 源 ， 从 而 使 合法 用 户 无 法 得 到 服务 。 

DoS 攻击 的 基本 过 程 是 : 首先 攻击 者 辣 服 务 占 友 送 众多 的 市 有 虚假 地 址 的 请 求 ， 服 务 占 友 












































送 回 复 信息 后 等 竺 回 传 信息 ， 由 于 地 址 是 伪造 的 ， 所 以 服务 套 一 直 等 不 到 回 传 的 消息 ， 分 配给 
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这 次 请 求 的 资源 束 始 终 没 有 被 释放 。 当 服务 部 等 竺 一 定 的 时 间 后 ， 连 接 会 因 超时 而 被 切 断 ， 攻 
击 者 会 再 度 传送 新 的 一 批 请 求 ， 在 这 
种 反复 发 送 伪 地 址 请 求 的 情况 下 ， 服 
务 器 资源 最 终 会 被 耗 尽 。 

DoS 根据 按照 利用 漏洞 产生 的 来 
源 划 分 ， 可 以 分 为 以 下 几 类 。 

1) 利用 软件 实现 的 缺陷 

OOB 攻击 Ch H LH winnuke) 、 
teardrop JX:t C HH LH teardrop.c 




















boink.c bonk.c) ~ land 攻击 、IGMP e , 

I Fra. jolt Jti. Cisco 2600 路 S| 一 

H1 IOS version 11.0 (10) 远程 拒绝 服务 器 

服务 攻击 等 ， 这 些 攻 击 都 是 利用 了 被 图 1-4 拒绝 服务 攻击 示意 图 


攻击 软件 实现 上 的 缺陷 完成 Dos 攻击 

的 。 通 党 这 些 攻 击 工 具 问 被 攻击 系统 发 送 特 定 类 型 的 一 个 或 多 个 报 文 , 这 些 攻击 通常 都 是 致命 的 ， 
般 都 是 一 击 致死 ， 而 且 很 多 攻击 是 可 以 伪造 源 地 址 的 ， 所 以 即使 通过 IDS 或 者 别 的 Sniffer 软 
件 记 录 到 攻击 报 文 也 不 能 找到 是 谁 发 动 的 攻击 ， 而 且 此 类 型 的 攻击 多 是 特定 类 型 的 几 个 报 文 ,， 非 
常 短 暂 的 少量 的 报 文 ， 如 果 伪 造 源 IP 地 址 的 话 ， 几 乎 是 不 可 能 进行 追查 的 。 

2) 利用 协议 的 漏洞 

这 种 攻击 的 生存 能 力 非常 强 。 为 了 能 够 在 网 络 上 进行 互通 、 互 联 ， 所 有 的 软件 实现 都 必须 遵 
循 既 有 的 协议 ， 而 如 果 这 种 协议 存在 漏洞 的 话 ， 那 么 所 有 遵循 此 协议 的 软件 都 会 受到 影响 。 

最 经 典 的 攻击 是 SYN Flooding 攻击 ， 它 利用 TCP/IP. 协议 的 漏洞 完成 攻击 。 通 常 一 次 TCP 
连接 的 建立 包括 3 个 步骤 ， 客 户 端 发 送 SYN 包 给 服务 器 端 ， 服 务 器 分 配 一 定 的 资源 给 这 里 连接 
并 返回 SYN/ACK 包 ， 并 等 待 连接 建立 的 最 后 的 ACK 包 ， 最 后 客户 端 发 送 ACK 报 文 ， 这 样 两 者 
之 间 的 连接 建立 起 来 ， 并 可 以 通过 连接 传送 数据 了 。 而 攻击 的 过 程 焉 是 狗 狂 发 送 SYN 报 文 ， 而 
不 返回 ACK 报 文 ， 服 务 器 占用 过 多 资源 ， 而 导致 系统 资源 占用 过 多 ， 没 有 能 力 啊 应 别 的 操作 ， 
或 者 不 能 啊 应 正常 的 网 络 请 求 。 这 个 攻击 是 经 典 的 以 小 捕 大 的 攻击 ， 即 目 己 使 用 少量 资源 占用 对 
方 大 量 资 源 。 一 台 Pentium 4 的 Linux 系统 大 约 能 友 30—40M 的 64 TEJ SYN Flooding 报 文 ， 
而 一 台 普 通 的 服务 器 20M 的 流量 就 基本 没有 任何 啊 应 了 《包括 忌 标 、 键 盘 ) 。 而 且 SYN Flood 
不 仅 可 以 远程 进行 ， 而 且 可 以 伪造 源 IP 地 址 ， 给 追查 造成 很 大 困难 ， 要 查找 必须 对 所 有 骨干 网 
络 运营 商 ， 一 级 一 级 路 由 器 地 癌 上 和 碍 找 。 

对 于 伪造 源 IP 的 SYN Flooding 攻击 ， 除 非 攻击 者 和 被 攻击 的 系统 之 间 所 有 的 路 由 器 的 管理 
者 都 配合 查找 ， 否 则 很 难 奶 查 。 当 前 一 些 防火 墙 产 品 声称 有 抗 DoS 的 能 力 ， 但 通常 其 能 力 有 限 ， 
包括 国外 的 人 硬件 防火 墙 大 多 100Mbps 防火 墙 的 抗 SYN Flooding 的 能 力 只 有 20—30Mbps (64 £ 
CH SYN 包 ) ， 这 里 涉及 它们 对 小 报 文 的 转发 能 力 ， 再 大 的 流量 甚至 能 导 作 防火墙 骨 沉 。 现 在 有 
些 安 全 厂商 认识 到 Dos 攻击 的 危害 ， 开 始 研 发 专用 的 抗拒 绝 服 务 产 品 。 

由 于 TCP/IP 协议 相信 报 文 的 源 地 址 ， 另 一 种 攻击 方式 是 反射 拒绝 服务 攻击 ， 另 外 还 可 以 利 
用 广播 地 址 和 组 播 协议 辅助 反射 拒绝 服务 攻击 ， 这样 效 果 更 好 。 不 过 大 多 数 路 由 器 都 禁止 广播 地 
址 和 组 播 协议 的 地 址 。 
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还 有 一 关 攻 击 方式 是 使 用 大 量 符合 协议 的 正 弟 服务 请 求 ， 由 于 每 个 请 求 耗 忱 很 大 系统 资源 ， 
导致 正常 服务 请 求 不 能 成 功 。 如 HTTP 协议 是 无 状态 协议 ， 攻 击 者 构造 大 量 搜索 请 求 ， 这 些 请 求 
耗 绩 大 量 服务 器 资源 ， 导 至 DoS 攻击 。 这 种 方式 的 攻击 比较 好 人 处理， 由 于 是 正常 请 求 ， 雄 露 了 
正常 的 源 IP Heh, BEERE IP 承 可 以 了 。 
3) 资源 消耗 
这 种 攻击 方式 凭借 丰富 的 资源 , 发 送 大 量 的 垃圾 数据 侵占 用 户 的 资源 , 导致 DoS。 比 如 ,ICMP 
Flood, mstream Flood, Connection Flood。 为 了 获得 比 目 标 系 统 更 多 的 资源 ， 攻 击 者 通常 会 改动 
DDoS (Distributed DoS， 分 布 式 拒绝 服务 攻击 ) ， 攻 击 者 控制 多 个 攻击 “肉鸡 ”发 动 攻击 ， 这 样 
才能 产生 预期 的 效果 。 前 两 类 攻击 是 可 以 伪造 IP 地 址 的 ， 追 查 也 非常 困难 ， 第 3 种 攻击 由 于 需 
要 建立 连接 ， 可 能 会 暴露 攻击 “肉鸡 ”的 IP 地址 ， 通 过 防火 墙 禁止 这 些 IP AT o XET 
会 、 禁 止 的 攻击 行为 ， 须 要 依 徘 专用 的 抗拒 绝 服 务 产 品 。 
4) i$ WIS Dos 攻击 类 型 
在 日 第 的 网 络 威胁 中 ， 以 下 几 关 Dos 攻击 较为 遇见 。 
= 死亡 之 ping (ping of death) 攻击 。ICMP〔 控 制 信息 协议 ) 在 Internet. 上 用 于 错误 处 理 
和 传递 控制 信息 。 它 的 功能 之 一 是 与 主机 联系 ， 通 过 发 送 一 个 回应 请 求 Cecho request 
言 息 包 看 看 主机 是 否 “ 存 活 ”。 最 普通 的 ping 程序 就 是 这 个 功能 。 而 在 TCP/IP 的 RFC 
文档 中 对 包 的 最 大 尺寸 都 有 严格 限制 规定 ,许多 操作 系统 的 TCP/IP 协议 栈 都 规定 ICMP 
包 大 小 为 64KB， 且 在 对 包 的 标题 头 进 行 谈 取 之 后 ， 要 根据 该 标题 头 里 包含 的 信息 来 为 
有 效 载 何 生 成 缓冲 区 。“Ping of Death” 攻 击 束 是 故意 产生 畸形 的 测试 Ping (Packet 
Internet Groper) 包 ， 声 称 目 己 的 尺寸 超过 ICMP 上 限 ， 也 束 是 加 载 的 尺寸 超过 64KB 
上 限 ， 使 未 采取 保护 措施 的 网 络 系统 出 现 内 存 分 配 错误 ， 导 致 TCP/IP DOUG MA 
而 造成 最 终 接收 方 宕 机 。 

»  Teardrop 攻击 。 也 叫 “ 泪 滴 攻 击 ”， 它 利用 在 TCP/IP 协议 栈 实现 中 信任 IP 雄 片 中 的 包 
的 标题 头 所 包含 的 信息 来 实现 目 己 的 攻击 。IP 分 段 合 有 指示 该 分 段 所 包含 的 是 原 包 的 
哪 一 段 的 信息 ， 某 些 TCP/IP 协议 栈 在 收 到 含有 重 登 侦 移 的 伪造 分 段 时 将 朋 涡 。 

= UDP“ 泛 洪 ” 攻 击 (UDP flooding) 。 在 Internet E UDP 〈 用 户 数据 包 协 议 ) 的 应 用 比 
较 广 泛 ， 很 多 提供 WWW 和 Mail 等 服务 的 设备 通常 是 使 用 Linux 服务 器 ， 它 们 默认 打 
开 一 些 被 黑客 恶意 利用 的 UDP 服务 。 如 echo 服务 会 显示 接收 到 的 每 一 个 数据 包 , 而 原 
本 作为 测试 功能 的 chargen 服务 会 在 收 到 每 一 个 数据 包 时 随机 反馈 一 些 字 符 .UDP flood 
假冒 攻击 束 是 利用 这 两 个 简单 的 TCP/P 服务 的 漏洞 进行 恶意 攻击 ， 通 过 伪造 与 某 一 主 
机 的 chargen 服务 之 间 的 一 次 的 UDP 连接 ， 回 复 地 址 指 癌 开 看 echo 服务 的 一 台 主 机 ， 
通过 将 chargen 和 echo 服务 互 指 ， 来 回 传送 时 无 用 处 且 占 满 市 宽 的 垃圾 数据 ， 在 两 台 
主机 之 间 生 成 足够 多 的 无 用 数据 流 ， 这 一 拒绝 服务 攻击 飞快 地 导致 网 络 可 用 带宽 耗 尽 。 

a SYN “ 泛 洪 ”攻击 (SYN flooding) 。 访 攻击 方式 如 同上 面 介 绍 的 利用 协议 的 漏洞 中 的 

攻击 方式 一 致 ， 此 处 不 再 性 述 。 

» Land Ji (Land Attack) 。 在 Land 攻击 中 ， 黑 客 利 用 一 个 特别 伪造 (spoof) 的 SYN 包 

( 它 的 原 地 址 和 目标 地 址 都 被 设置 成 某 一 个 服务 占 地 址 ) 进行 攻击 。 此 举 将 导致 接收 服务 
器 问 它 目 己 的 地 址 友 送 SYN/ACK 消息 , £o T Ha X AIR] ACK 消 恩 并 创建 一 个 空 连 
接 ， 每 一 个 这 样 的 连接 都 将 保留 下 到 超时 ， 在 Land 攻击 下 ， 许 多 Linux KA. 
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ma。 IP 欺骗 (IP spoofing) 攻击 : 这 种 攻击 利用 TCP 协议 栈 的 RST 位 来 实现 , 使 用 IP 欺骗， 
迫使 服务 器 把 合法 用 户 的 连接 复位 , 影响 合法 用 户 的 连接 。 假设 现在 有 一 个 合法 用 户 A 
已 经 同 服务 器 建站 了 正常 的 连接 ,攻击 者 构造 攻击 的 TCP 数据, DEB OIN PAAP 
IP 地 址 , 并 疝 服务 器 发 送 一 个 融 有 RST 位 的 TCP 数据 段 。 服务 器 接收 到 这 样 的 数据 后 ， 
认为 从 用 户 A 故 送 的 连接 有 和 错误， 束 会 清空 绥 冲 区 中 己 建 立 好 的 连接 。 这 时 ， 合 法 用 
P OA 再 发 送 合法 数据 ， 服 务 嚣 束 已 经 没有 这 样 的 连接 了 ， 该 用 户 束 被 拒 绝 服 务 而 只 能 
重新 开始 建立 新 的 连接 。 

2. DDoS 攻击 


1) DDoS 攻击 原理 

与 基本 的 DoS 攻击 不 同 ，DDoS (Distributed Denial of Service， 分 布 式 拒绝 服务 ) 攻击 是 一 
种 基于 DoS 的 特殊 形式 的 拒绝 服务 攻击 ， 是 一 种 分 布 、 协 作 的 大 规模 攻击 方式 ， 主 要 有 蝴 准 比 较 
大 的 站 点 , 像 商 业 公 司 、 搜 索引 擎 和 政府 部 门 的 站 点 .通常 , DoS 攻击 只 要 一 台 单 机 和 一 个 Modem 
就 可 实现 ， 与 之 不 同 的 是 ，DDosg 攻击 是 利用 一 批 受 控制 的 机 器 回 一 台 机 器 发 起 攻击 ， 这 样 来 势 
迅 狐 的 攻击 令 人 难以 防备 ， 因 此 具有 较 大 的 破坏 性 。 

如 图 1-5 所 示 , 一 个 经 典 的 DDoS 攻击 体 
系 分 成 四 大 部 分 。 第 一 部 分 是 黑客 (hacker) ， 
它们 通 和 对 控制 的 倪 伪 机 发 喜 施 令 。 第 二 部 分 
和 第 三 部 分 分 别 是 控制 候 侍 机 和 攻击 侦 伪 机 ， 
它们 分 别 是 用 做 控制 和 实际 发 起 攻击 。 第 四 部 
分 则 是 最 终 的 受害 者 (被 攻击 者 ，victim) 。 
在 图 1-5 中 需要 特别 注意 控制 机 与 攻击 机 的 
bl]: 对 第 四 部 分 的 受害 者 来 说 ，DDoS 的 实 
际 攻击 包 是 从 第 三 部 分 攻击 倪 仿 机 上 友 出 的 ， 
第 二 部 分 的 控制 机 上 只 发 布 命 令 而 不 参与 实际 
的 攻击 。 对 第 二 和 第 三 部 分 计算 机 ,黑客 有 探 
制 权 或 者 是 部 分 的 控制 权 , 并 把 相应 的 DDoS 
程序 上 传 到 这 些 平台 上 ,这些 程 序 与 正常 的 程 
序 一 样 运行 并 每 等 来 日 黑客 的 指令 , 通 第 它 还 
会 利用 各 种 手段 隐 蔚 目 己 不 被 别人 发 现 。 在 平 
时 ， 这 些 倪 偶 机 器 并 没有 什么 异常 ， 只 是 一 旦 图 1-5 分 布 式 拒 绝 服务 攻击 体系 结构 


Zr 

黑客 连接 到 它们 进行 控制 ， 并 友 出 指令 的 时 
候 ， 攻 击 修 儒 机 吏 成 为 攻击 者 去 上 友 起 攻击 了 。 也 束 是 说 ， 其 实 从 严格 意义 上 来 说 ， 除 了 第 一 部 分 
的 黑客 之 外 ， 第 2 一 3 部 分 都 是 受害 者 。 

2) DDoS 遇见 的 攻击 类 型 

Smurf, Fraggle 攻击 、Trinoo、Tribe Flood Network (TFN) 、TFN2k 以 及 Stacheldraht 是 比 
较 常 见 的 DDoS 攻击 程序 。 

» Smurf 攻击 。Smurf 攻击 是 以 最 初 发 动 这 种 攻击 的 程序 名 “Smurf” 来 命名 的 。 它 是 一 

种 简单 但 有 效 的 DDoS 攻击 技术 ，Smurf 还 是 利用 ping 程序 进行 源 IP 假冒 的 直接 广播 
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进行 攻击 。Smurf 用 一 个 伪造 的 源 地 址 连续 ping 一 个 或 多 个 计算 机 网 络 ， 导 致 所 有 计 
算 机 啊 应 的 那个 主机 地 址 并 不 是 实际 发 送 这 个 信息 包 的 攻击 计算 机 。 这 个 伪造 的 源 地 
址 ， 实 际 上 就是 攻击 的 目标 ， 它 将 被 极 大 数量 的 啊 应 信息 量 所 淹没 。 对 这 个 伪造 信息 
包 做 出 啊 应 的 计算 机 网 络 就 成 为 攻击 的 不 知情 的 同谋 。 一 个 人 简单 的 Smurf 攻击 最 终 导 
致 网 络 阻 塞 和 第 三 方 朋 溃 , 这 种 攻击 方式 要 比 ping of death 洪水 的 流量 高 出 一 两 个 数量 
级 。 这 种 使 用 网 络 发 送 一 个 包 而 引出 大 量 回 应 的 方式 也 被 称 为 “Smurf 放大 ”。 

= Fraggle 攻击 。Fraggle 攻击 对 Smurf 攻击 作 了 简单 的 修改 ， 使 用 的 是 UDP 应 答 消 县 而 
非 ICMP。 

=  Trinoo 攻击 。Trinoo 是 较为 复杂 的 DDoS 攻击 程序 ， 它 是 基于 UDP flooding 的 攻击 技 
术 。 它 使 用 “master” 程 序 对 实际 实施 攻击 的 任何 数量 的 “代理 ”程序 实现 上 自动 控制 。 
当然 在 攻击 之 前 ， 侵 入 者 为 了 安装 软件 ， 已 经 控制 了 装 有 master 程序 的 计算 机 和 所 有 
小 有 代理 程序 的 计算 机 。 攻 击 者 连接 到 安 狼 了 master 程序 的 计算 机 ， 启 动 master 程序 ， 
然后 根据 一 个 IP 地 址 的 列表 ， 由 master 程序 负责 局 动 所 有 的 代理 程序 。 接 看 ， 代 理 程 
序 用 UDP 信息 包 冲 击 网 络 ， 问 被 攻击 目标 主机 的 随机 痕 口 有 友 出 全 零 的 4 衬 市 UDP E, 
在 处 理 这 些 超出 其 处 理 能 力 垃 圾 数据 包 的 过 程 中 ， 被 攻击 主机 的 网 络 性 能 不 断 下 降 ， 
直到 不 能 提供 正常 服务 ， 力 全 朋 泽 。 

= Tribe Flood Network (TFN) 和 TFN2K 攻击 。Tribe Flood Network 攻击 与 Trinoo 攻击 一 
样 ， 使 用 一 个 master 程序 与 位 于 多 个 网 络 上 的 攻击 代理 进行 通信 ， 利 用 ICMP 给 代理 
服务 器 下 命令 ， 其 来 源 可 以 做 假 。TFN 可 以 并 行 发 动 数 不 胜 数 的 Dos 攻击 ， 类 型 多 种 
多 样 ， 而 且 还 可 建立 带 有 伪装 源 IP 地 址 的 信息 包 。 可 以 由 TEN 友 动 的 攻击 包括 : SYN 
flood. UDP flood, ICMP 回应 请 求 flood 及 Smurf (利用 多 全 服务 需 发 出 海量 数据 包 ， 
实施 DoS 攻击 ) 等 攻击 。TEFN 的 升级 版 TFN2K 进一步 对 命令 数据 包 加 密 ， 更 难 查 询 
命令 内 容 ， 命 令 来 源 可 以 做 假 ， 还 有 一 个 后 门 控 制 代 理 服 务 器 。 

=  Stacheldraht 攻击 。Stacheldraht 攻击 同样 基于 TFN 和 Trinoo 一 样 的 客户 机 /服务 需 
(client/server, CS) 模式 ， 其 中 master 程序 与 潜在 的 成 干 上 万 个 代理 程序 进行 通信 。 在 
发 动 攻 击 时 ， 侵 入 者 与 master 程序 进行 连接 。Stacheldraht 增加 了 新 的 功能 : 攻击 者 与 
master 程序 之 间 的 通信 是 加 密 的 ， 对 命令 来 源 做 假 ， 而 且 可 以 防范 一 些 路 由 器 用 
RFC2267 过 滤 ， 寿 检查 出 有 过 滤 现 象 ， 它 将 具 做 假 全 地址 最 后 8 位， 从 而 让 用 户 无 法 
了 解 到 底 是 哪 几 个 网 段 的 哪 台 机 器 被 攻击 ; 同时 使 用 远程 复制 技术 对 代理 程序 进行 自 
动 更 新 。Stacheldraht F] TFN 一 样 , 可 以 并 行 发 动 数不胜数 的 DoS 攻击 , 类 型 多 种 多 样 ， 
y He np g& von pyxeds IP 地 址 的 信息 包 。Stacheldraht 所 发 动 的 攻击 包括 UDP 
flooding、TCP SYN flooding 等 。 


1.3.4 ”病毒 

虽然 从 目前 发 现 的 病毒 来 说 ，Linux 系统 下 的 病毒 相对 于 Windows 系统 下 的 来 说 要 少 很 多 ， 
然而 却 不 可 对 其 忽视 。 本 节 将 介绍 Linux 病毒 的 发 展 历程 以 及 Linux. 下 病毒 的 分 类 。 

1. 病毒 的 起 源 和 历程 


1996 年 的 Staog 是 Linux 系统 下 的 第 一 个 病毒 ， 筷 出 和 目 澳 大 利 亚 一 个 叫做 VLAD 的 组 织 
(Windows 95 下 的 第 一 个 病毒 程序 Boza 也 系 该 组 织 所 为 ) 。Staog 病毒 是 用 汇编 语言 编写 的 ， 专 
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门 感 染 二 进 制 文件 ， 并 通过 三 种 方式 去 尝试 得 到 root 权限 。Staog 病毒 并 不 会 对 系统 有 什么 实质 
性 的 损坏 。 访 病毒 应 该 算是 一 个 演示 版 , 同 世 人 换 示 了 Linux 可 能 被 病毒 感染 的 淤 在 危险 。Linux 
系统 上 第 二 个 个 友 现 的 病毒 是 Bliss 病毒 ， 它 是 一 个 不 小 心 被 释 放出 来 的 实验 性 病毒 。 与 其 他 病 
毒 不 同 的 是 ，Bliss 本 喘 珊 有 免疫 程序 ， 只 要 在 运行 该 程序 时 加 上 disinfect-files-please 选项 ， 即 可 
恢复 系统 。 

如 果 说 刚 开 始 时 Linux 病毒 同人 们 展示 的 仅仅 是 一 个 概念 ， 那 么 ， 在 2001 年 发 现 的 Ramen 
病毒 ， 则 已 经 开始 引起 很 多 人 的 担心 。Ramen 病毒 可 以 目 动 传播 ， 无须 人 工 干 预 ， 所 以 和 1988 
年 曾 使 人 们 大 受 其 害 的 Morris 蠕虫 非常 相似 。 该 病毒 只 感染 Red Hat Linux 6.2 和 7.0 版 使 用 匿名 
FTP 服务 的 服务 器 ， 通 过 两 个 普通 的 漏洞 RPC.statd 和 wu-FTP 感染 系统 。 表 面 看 来 ， 这 不 是 一 
个 危险 的 病毒 。 它 很 容易 被 发 现 ， 且 不 会 对 服务 器 做 出 任何 有 破坏 性 的 事情 。 但 是 当 其 开始 扫描 
时 ， 将 消耗 大 量 的 网 络 带 宽 。 

从 1996 FES, JHI Linux 病毒 届 指 可 数 ， 这 说 明 Linux 是 一 个 健壮 的 具有 先天 病毒 免疫 
能 力 的 操作 系统 。 当 然 ， 出 现 这 种 情况 ， 除 了 其 上 自身 设计 优秀 外 ， 还 有 其 他 的 原因 。 首 先 ，Linux 
早期 的 使 用 者 一 般 都 是 专业 人 士 ， 束 算是 今天 ， 虽然 其 使 用 者 激增 , 但 典型 的 使 用 者 仍 为 那些 有 
着 很 好 的 电脑 背景 且 愿 意 帮助 他 人 的 人 ，Linux 高 手 更 倾向 于 鼓励 新 手 支 持 这 样 一 种 文化 精神 。 
正 因为 如 此 ，Linux 使 用 群 中 一 种 倾 回 就 是 为 安全 起 见 尽量 避免 感染 病毒 。 其 次 , 年 轻 也 是 Linux 
很 少 受到 病毒 攻击 的 原因 之 一 。 事 实 上 ， 所 有 的 操作 系统 (包括 DOS 和 Windows) 在 其 产生 之 
初 ， 也 是 很 少 受 到 各 种 病毒 侵扰 的 。 

然而 ，2001 年 3 H, KH SANS 学 院 的 全 球 事 故 分析 中 心 GIAC (Global Incident Analysis 
Center) 发 现 ， 一 种 新 的 针对 使 用 Linux. 系统 的 计算 机 的 晴 虫 病毒 正 通过 互联 网 迅速 蔓延 ， 它 将 
有 可 能 对 用 户 的 电脑 系统 造成 严重 破坏 。 这 种 蜂 虫 病毒 被 命名 为 “狮子 ”病毒 ， 与 Ramen Wm 
病毒 非常 相似 。 但 是 ， 这 种 病毒 的 危险 性 更 大 ，“ 独 子 ” 病 毒 能 通过 电子 邮件 把 一 些 密码 和 配置 
文件 发 送 到 一 个 位 于 china.com WRK Eo PE, Ramen 病毒 是 一 种 比较 友善 的 病毒 ， 它 侵入 
系统 后 会 目 动 关闭 其 中 的 漏洞 ， 而 这 个 病毒 却 让 那些 漏洞 敞开 并 开辟 新 的 漏洞 。 以 至 于 如 果 用 户 
的 系统 感染 了 这 个 病毒 ,还 不 能 百分之百 人 确信 这 个 系统 有 挽救 的 价值 ， 他们 很 有 可 能 选择 转移 其 
数据 并 且 重 新 格式 化 便 盘 。 

一 旦 计算 机 被 彻 压 感染 ,“ 狮 子 ” 病 毒 束 会 强迫 电脑 开始 在 互联 网 上 搜寻 别 的 受害 者 ,不 过 ， 
感染 “独子 ”病毒 的 系统 少 于 感染 Ramen 病毒 的 系统 ， 但 是 其 所 造成 的 损失 却 比 后 者 大 得 多 。 

DG Klez 病毒 在 Linux 平台 上 的 传染 ， 防 毒 软 件 三 商 开 始 提 醒 我 们 ， 人 微软 的 操作 系统 不 再 
是 惟一 易 受 病毒 攻击 的 操作 系统 了 。 即 使 Linux 和 其 他 一 些 主流 UNIX 平台 的 用 户 可 能 不 是 微软 
捆绑 应 用 软件 的 大 用 户 ， 不 可 能 通过 这 些 软件 造成 病毒 的 泛滥 ，Linux 和 UNIX 仍然 有 其 自身 并 
不 引 人 注 目的 脆弱 点 。 除 了 Klez 以 外 , 其 他 Linux/UNIX 平台 的 主要 威胁 有 :Lion.worm、OSF.8759 
病毒 、Slapper、Scalper、Linux.Svat 和 BoxPoison 病毒 ， 这 些 都 很 少 被 提 及 。 

病毒 的 制造 者 是 一 些 精 通 编 与 代码 的 黑客 , 他 们 远 比 那些 胡乱 涂改 网 站 却 对 编写 病毒 知之 其 
少 的 黑客 要 人 危险 得 多 。 一 个 被 黑 挥 的 网 站 可 以 很 快 修复 好 ， 而 病毒 却 更 加 隐蔽 ， 会 带 来 潜在 的 安 
全 隐患 ， 它 会 一 直 潜 伏 ， 直 到 给 系统 带 来 不 可 挽回 的 损害 。 

男 外 ， 越 多 的 Linux 系统 连接 到 局 域 网 和 广域网 ， 就 会 有 越 多 受 攻 击 的 可 能 ， 这 是 因为 很 多 
Linux 病毒 正在 快速 地 扩散 着 。 使 用 WINE 的 Linux/UNIX 系统 特别 容易 受到 病毒 的 攻击 。WINE 
是 一 个 公开 源 代 人 码 的 莱 容 软件 包 ， 能 让 Linux 平台 运行 Windows 应 用 软件 。WINE 系统 特别 容易 
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遭受 病毒 的 攻击 ， 因 为 它们 会 使 无 论 是 对 Linux 的 还 是 对 Windows 的 病毒 、 蠕 虫 和 木马 都 能 对 
系统 产生 威胁 。 
2. 病毒 的 主要 类 型 


Linux 平台 下 病毒 的 分 类 非常 多 ， 主 要 有 以 下 儿 类 。 

















可 执行 文件 型 病毒 。 可 执行 文件 型 病毒 是 指 能 够 寄生 在 文件 中 的 、 以 文件 为 主要 感染 
对 象 的 病毒 ,病毒 制造 者 无 论 使 用 什么 武 占 , 汇编 或 者 C, 要 感染 ELF (Executive Linked 
File， 一 种 为 Linux 系统 押 采 用 的 通用 文件 格式 ， 文 持 动 态 连接 ) 文件 都 是 轻而易举 的 
事情 。 这 方面 的 病毒 如 Lindose， 当 其 发 现 一 个 ELF 文件 时 ， 它 将 检 甬 被 感染 的 机 此 类 
型 是 否 为 Intel 80386, "il ze. 则 俘 找 该 文件 中 是 否 有 一 部 分 的 大 小 大 于 2784 FE CRX 
十 六 进 制 AEO) ， 如 采 满 足 这 些 条 件 ， 病 毒 将 用 目 身 代码 履 关 它 并 添加 香 主 文件 的 相 
应 部 分 的 代码 ， 同 时 将 宿主 文件 的 入 口 点 指向 病毒 代 人 三 部 分 。 一 个 名 为 Alexander 
Bartolich 的 学 生发 表 了 一 访 名 为 《如 何 编 写 一 个 Linux 的 病毒 》 的 文章 ， 详 细 摘 述 了 如 
何 制 作 一 个 感染 在 Linux/i386 的 ELF 可 执行 文件 的 寄生 文件 病毒 。 有 了 这 样 具 局 友 性 
的 、 在 网 上 发 布 的 文档 ， 基 于 Linux 的 病毒 数量 只 会 增长 得 更 快 。 

蠕虫 (worm) 病毒 ( 见 图 1-6) 。1988 年 Morris Ih EIA Ji, Eugene H. Spafford 为 了 
区 分 蠕虫 和 病毒 ， 给 出 了 肾 虫 的 技术 角 大 的 定义 ，“ 计 算 机 里 虫 可 以 独立 运行 ， 并 能 
把 上 自身 的 一 个 包含 所 有 功能 的 版 本 传播 到 男 外 的 计算 机 上 。”(worm is a program that can 
run by itself and can propagate a fully working version of itself to other machines. )。 在 Linux 
平台 下 ， 晴 虫 病毒 极为 猩 狐 ， 像 利用 系统 漏洞 进行 传播 的 Ramen, Lion. Slapper 等 这 
些 具 名 昭著 的 病毒 每 一 个 都 感染 了 大 量 的 Linux 系统 , 造成 了 巨大 的 损失 。 它们 就 是 开 
放 源 代码 世界 的 nimda 一 一 红色 代码 。 在 未 来 ， 这 种 蠕虫 病毒 仍然 会 愈演愈烈 ，Linux 
系统 应 用 越 广泛 ， 蜂 虫 的 传播 程度 和 破坏 能 力也 会 随 之 增加。 


The Spread of the Sapphire/Slammer Worm 
























































* The geographic spread of Sapphire/Slammer Worm 30 
minutes after release 





图 1-6 ”蠕虫 病毒 传播 速度 示意 








脚本 病毒 。 目 前 出 现 得 比较 多 的 是 使 用 shell 脚本 语言 编写 的 病毒 。 此 类 病毒 编写 较为 
简单 ， 但 是 破坏 力 同样 惊人 。 我 们 知道 ，Linux 系统 中 有 许多 以 .sh 结尾 的 脚本 文件 ， 
而 一 个 短 短 数 十 行 的 shell 脚本 束 可 以 在 短 时 间 内 过 历 整 个 便 盘 中 所 有 的 脚本 文件 ， 进 
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行 感染 。 因 此 病毒 制造 者 不 要 具有 很 高 深 的 知识 ， 就 可 以 轻易 编写 出 这 样 的 病毒 ， 对 
系统 进行 破坏 ， 其 破坏 性 可 以 是 删除 文件 、 破 坏 系 统 正 单 运 行 ， 甚 至 下 载 一 个 木马 到 
系统 中 等 。 

a 后门 程 序 。 在 广义 的 病毒 定义 概念 中 ， 后 门 也 已 纳入 了 病毒 的 范畴 。 活 跃 在 Windows 
系统 中 的 后 门 这 一 入 侵 痢 的 利器 在 Linux 平台 下 同样 极为 活跃 。 从 增加 系统 超级 用 户 账 
号 的 简单 后 门 ， 到 利用 系统 服务 加 载 、 共 享 库 文件 注射 、rootkit 工具 包 ， 甚 全 可 装载 内 
EUER (LKM) ，Linux 平台 下 的 后 门 技术 发 展 非常 成 束 ， 隐 蔽 性 强 ， 难 以 清除 。 是 
Linux 系统 管理 员 极 为 头疼 的 问题 。 

从 目前 的 情况 来 看 ， 由 于 Linux 的 开源 性 以 及 世界 各 地 高 手 的 维护 ， 其 下 的 病毒 相对 
Windows 来 说 要 少 很 多 ,而 且 从 整体 上 来 说 ，Linux 的 抗 病 毒性 从 先天 上 也 优 于 Windows 操作 系 
统 。 然 而 ， 随 独 病 毒 技术 的 不 断 发 展 ， 由 于 某 些 物质 利益 的 张 动 ， 众 多 的 黑客 极 有 可 能 投 喘 于 
Linux 病毒 的 开发 ， 那 么 ，Windows 下 的 病毒 友 展 史 ， 也 有 可 能 在 Linux EEI. 


1.3.5 IP 欺骗 


即使 是 很 好 地 实现 了 TCP/P 协议 ， 但 由 于 它 本 号 存 在 看 一 些 不 安全 的 地 方 ， 从 而 可 以 对 
TCP/IP 网 络 进行 攻击 。 这 些 攻 击 包 括 友 列 写 其 骗 、 路 由 攻击 、 源 地 址 欺骗 和 授权 欺骗 等 。 实 际 
E, IP Hs. CIP Spoofing) 不 是 进攻 的 结果 ， 而 十 进攻 的 手段 。 进 攻 实 际 上 古 信 任 关 系 的 破坏 。 

IP 其 统 由 者 干 步骤 组 成 ， 这 里 先 简 要 地 描述 一 下 。 首 先 ， 目 标 主 机 已 经 选 定 。 其 次 ， 信 任 模 
式 已 被 发 现 ， 并 找到 了 一 个 被 目 
























































标 主 机 信任 的 主机 。 黑 客 为 了 进 | 

行 全 欺骗 ， 进 行 以 下 工作 : 使得。 基本 技术 原理 s 

被 信任 的 主机 丧失 工作 能 力 ， 同 _ 

时 采样 目标 主机 发 出 的 TCP 序列 。 ”生得 3 信 它 基 4 y = 
5, KW E AIEA 然 O DN MDC] = S | Bj 
后 ， 伪 装 成 被 信任 的 主机 ， 同 时 ACK Session 1 

建立 起 与 目标 主机 基于 地 址 验证 | © Tesi 
的 应 用 连接 。 如 果 成 功 ， 黑 客 可 o IB gASGBEER MM D 

以 使 用 一 种 简单 的 命令 放置 一 个 P eaim UU ss, 
系统 后 门 ， 以 进行 非 授权 操作 。 

其 基本 技术 原理 图 如 图 1-7 所 示 。 图 1-7 IP 欺骗 基本 原理 示意 图 


1.3.6 ARP 欺骗 





如 同 IP 欺骗 一 样 ，ARP 欺骗 (ARP Spoofing) 也 是 黑客 常用 的 攻击 手段 之 一 ， 如 图 1-8 所 
示 。ARP 欺骗 分 为 两 种 ， 一 种 是 对 路 由 器 ARP 表 的 欺骗 ， 另 一 种 是 对 内 网 PC 的 网 关 欺 骗 。 
"» HAS ARP 表 其 电 。 该 欺骗 的 原理 是 帘 获 网 关 数 据 。 筷 通知 路 由 元 一 系列 铺 误 的 内 网 
MAC 地 址 ， 并 按照 一 定 的 频率 不 断 进 行 ， 使 真实 的 地 址 信息 无 法 通过 更 新 保存 在 路 由 
器 中 ,结果 路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地址， 造成 正常 计算 机 无 法 收 到 
信息 ， 而 恶意 的 计算 机 则 可 以 通过 路 由 器 得 到 被 错误 转发 的 数据 包 ， 从 而 鳃 取 别 人 的 
机 密 信息 。 
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a ”网 关 和 其 骄 。 它 的 原理 是 建立 假 网 天 ， 让 被 它 欺骗 的 计算 机 癌 假 网 天 友 数 据 ， 而 不 是 通 
过 正常 的 路 由 各 途径 上 网 。 在 计算 机 看 米 ， 束 古 无 法 正 第 上 网 。 
一 般 来 说 ，ARP 坎 骗 攻击 的 后 果 非 常 严重 ， 大 多 数 情况 下 会 造成 大 面积 网 络 掉 线 和 正常 用 
尸 的 数据 被 错误 地 发 往 网 络 上 的 恶意 计算 机 。 因 此 ， 从 为 外 一 个 侧面 来 说 ， 它 也 可 以 作为 一 种 拒 
绝 服 务 攻 击 来 理解 :正常 的 用 己 无 法 收 到 数据 ， 而 网 络 无 法 正常 工作 。 


1、 发 送 大 量 ARP 请 求 报 文 1、 消 耗 网 络 带 宽 资源 。ARP 扫 


”i 描 往 往 是 进一步 攻击 的 前 奏 。 
PIXE 


IP:192.168.10.254 mumm 2 、 ECU ER, ] 
Mac: E 以 响应 正常 服务 请 求 。 



















2、 发 送 大 量 虚 俊 的 
网 关 :192.168.10.1C>MAC A ARP 响 应 报 文 


2 
wow 


主机 A 主机 B 主机 C 主机 D 192.168.10.1 
IP:192.168.10.1 1P:192.168.10.2 IP:192.168.10.3 — 了 :192.169.10.4 | 192 168 10 2 
Mac: MAC A Mac: MAC B Mac:MAC C Mac:MACD k -= 


3、 网 关 了 被 错误 ARP 表 充满 , 
导致 无 法 更 新 维护 正常 ARP 表 











192.168.10.2 - MAC B 








192.168.10.3 € 2MAC C 


二 


图 1-8 ARP 欺骗 示意 图 
1.3.7 网络 钓鱼 


“网 络 钓 鱼 (Phishing) ”就 其 本 身 来 说 ， 称 不 上 是 一 种 独立 的 攻击 手段 ， 更 多 的 只 是 诈骗 方 
法 ， 和 现实 中 的 一 些 诈骗 差不多 ， 如 图 1-9 所 示 。 黑 窜 利 用 欺骗 性 的 电子 邮件 和 假冒 的 Web 站 
A ILR] 1-100 来 进行 诈 驴 活动， 诱骗 访问 者 提供 一 些 个 人 信息 ， 如 信用 卡号 、 账 户 号 和 口令 、 
社保 编号 等 内 容 (通常 主要 是 那些 和 财务 、 账 号 有 关 的 信息 ) . VERG AE CAU 
行 、 在 线 零售 商 和 信用 卡 公司 等 可 信 的 品牌 单位 ， 因 此 ， 受 害 者 往往 也 是 那些 和 电子 商务 有 关 的 
服务 商 和 使 用 者 。 随 看 2005 年 美国 4000 万 信用 卡 信 息 被 锚 案 的 发 生 ，Phishing 事件 受到 国内 外 
的 密切 关注 。 一 些 组 织 估计 此 类 攻击 造成 的 损失 超过 数 百 亿美 元 。 国 际 反 网 络 欺诈 组 织 APWG 
发 布 的 统计 报告 显示 ，2004 年 9 月 发 现 活跃 的 仿 时 网 站 数目 为 546 个 ，12 月 则 达到 1707 个 。 
CNCERT/CC 在 2004 年 共处 理 200 多 起 Phishing 事件 ， 其 中 上 半年 20 起 ，8 月 以 后 每 个 月 都 接 
到 几 十 起 Phishing 事件 的 报告 。 这 类 攻击 事件 越 来 越 频 繁 ， 造 成 的 危害 也 越 来 越 大 。 
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ai 钓鱼 网 站 ,AFA 
钓鱼 邮件 EAE Pa þa " 2 p 8X Wien (Qe 
punt y 入 钓鱼 网 站 , biu Ma 
受害 用 户 z 
图 1-9 ILA] “WNAE” TARA 图 1-10 网络 钓鱼 网 站 图 示 


网 络 钓鱼 一 词 是 “Fishing” 和 “Phone” 的 综合 体 ， 由 于 墨客 始祖 起 初 是 以 电话 作 条 ， 上 所 以 
22 


知 役 : 企业 信息 安全 现状 剖析 


用 “Ph” 来 取代 “F”， 创 造 了 “Phishing”。 然 而 ， 当 今 的 “网 络 钓 鱼 ” 攻 击 利 用 欺骗 性 的 电子 
邮件 和 伪造 的 Web 站 点 来 进行 诈骗 活动 ， 受 纹 者 往往 会 汇 露 自己 的 财务 数据 ， 如 信用 卡号 、 账 
户 用 户 名 、 口 令 和 社保 编写 每 内 容 。 诈骗 者 通常 会 将 日 己 伪 浅 成 知名 银行 、 在 线 霉 售 商 和 信用 卡 
公司 等 可 信 的 品牌， 在 所 有 接触 诈骗 信息 的 用 户 中 ， 有 高 达 5% 的 人 都 会 对 这 些 骗 局 做 出 啊 应 。 

网 上 黑客 采用 的 “网 络 钓 鱼 ” 方 法 比较 多 ， 归 纳 起 来 大 概 有 以 下 几 种 方法 : 

CD 发 送 垃圾 邮件 。 该 类 方法 以 虚假 信息 引诱 用 户 中 鸭 套 ， 黑 客 大 量 发 送 欺诈 性 邮件 ， 这 些 
邮件 多 以 中 奖 、 顾 问 、 对 账 每 内 容 引 诱 用 户 在 邮件 中 填 入 金融 账号 和 密码， 或 是 以 各 种 紧迫 的 理 
由 《如 在 某 超市 或 商场 刷卡 消费 ， 要 求 用 户 核 对 〉 ， 要 求 收 件 人 登录 某 网 页 提交 用 户 名 、 密 码 、 
Hub. fH RASSE. SEO HI S. 

(2) ÆRE WERIT WEES PE vs Jg UT] E 3 SIE 1 03 HJ o et e LEG DX 44 NT 
页 内 容 都 与 真正 网 上 银行 系统 、 网 上 证 券 交 易 平 台 极为 相似 的 网 站 , 588 JST LANE s 
人 码 等 信息 ， 进 而 通过 真正 的 网 上 银行 、 网 上 证 券 系统 盗 贸 资金 ， 还 可 利用 合法 网 站 服务 右 程 序 上 
的 漏洞 , 在 该 站 点 的 某 些 网 页 中 插入 恶意 Html 代码 , 屏蔽 那些 可 用 来 辨别 网 站 真 假 的 重要 信息 ， 
利用 cookies $j BUR P fs ls 

(3) URL 隐藏 。 根 据 超 文本 标记 语言 的 规则 可 以 对 文生 制作 超 链接 ， 这 样 就 使 网 络 钓鱼 者 
有 机 可 乘 。 和 奉 看 信件 源 代 但 驶 能 很 快 找 出 其 中 的 奥秘 ， 网 络 钓 鱼 者 把 它 写 成 了 : <A 
HREF=http://www.Abank.com.cn>http://www.Bbank.com.cn</A> , XXfEDtA- Eus J Bbank 的 
网 址 而 实际 上 却 链 接 到 了 Abank 的 陷阱 网 站 。 

CA) 利用 虚假 的 电子 商务 进行 诈骗 。 黑 客 建立 电子 商务 网 站 , 或 是 在 比较 知名 、 大 型 的 电子 
商务 网 站 上 发 布 虚 假 的 商品 销售 信息 ， 淋 客 在 收 到 受害 人 的 购物 汇 球 后 束 销 声 匿 迹 。 除 少数 黑客 
日 己 建 立 电 子 商 务 网 站 外 ， 大 部 分 黑客 采用 在 知名 电子 商务 网 站 上 ， 如 “易趣 ”、“ 淘 宝 ”、“ 阿 
里 巴巴 ”等 ， 发 布 虚假 信息 ， 以 所 谓 “ 超 低 价 ”、“ 人 免税 ”、“ 走 私 货 ”、“ 慈 善 义 卖 ” 的 名 义 
出 售 各 种 产品 ,或 以 次 充 好 ， 很 多 人 在 低 价 的 诱惑 下 上 当 受 骗 。 网 上 交易 多 是 寞 地 人 交易， 通 肖 十 
要 汇 球 。 黑客 一 般 要 求 消费 者 和 完 付 部 分 束 , 再 以 各 种 理由 放 驴 消费 者 付 余 于 或 者 其 他 各 种 名 目的 
于 项 ， 得 到 钱 球 或 被 识破 时 ， 束 立即 切 汤 与 消费 者 的 联系 。 

(5) 利用 木马 和 黑客 技术 熏 取 用 户 信息 后 实施 盗 家 。 黑 客 通过 发 送 邮 件 或 在 网 站 中 隐藏 木马 
等 方式 大 肆 传 播 木马 程序 , 当 感 染 木马 的 用 户 进 行 网 上 交易 时 , 木马 程序 可 获取 用 户 账 号 和 密码 ， 
并 友 送 给 指定 邮箱 ， 用 户 资 金 将 受到 严重 威胁 。 

C6) 利用 用 户 弦 口令 等 漏洞 破解 、 猜 测 用 户 账 志 和 密码 。 黑 客 利 用 部 分 用 刀 黎 但 设置 得 过 于 
简单 的 账号 ， 对 账号 密码 进行 破解 。 目 前 已 有 很 多 的 弱 口 令 破 解 黑 客 工 具 在 网 上 可 以 免费 下 载 ， 
它们 可 以 在 很 短 的 时 间 内 和 破解 出 各 类 比较 简单 的 用 户 名 及 密码 。 

C) 其 他 手段 。 实 际 上 ， 黑 客 在 实施 “网 络 钓 鱼 ” 犯 罪 活 动 的 过 程 中 ,经 党 及 取 以 上 几 种 手 
法 交织 、 配 合 进行 。 并 不 排除 有 新 的 手段 的 出 现 ， 比 如 现今 泛滥 成 灾 的 “垃圾 手机 短信 ”， 其 中 
有 部 分 是 诈骗 短信 ， 以 急迫 的 口吻 要 求 用 户 对 并 不 存在 的 已 消费 的 “商品 ”进行 买 里 ， 提供 账户 
TUR, 严格 地 次, 它 也 应 当 属 于 “网 络 钓鱼 ”的 范畴 。 所 以 ,， 推 而 广 之 ,任何 通过 网 络 手段 〈 包 
括 通信 ) 进行 诈 驹 和 误导 用 户 使 之 遭受 经 济 损失 的 行为 都 应 当 称 之 为 “网 络 钓鱼 ”。 

个 人 用 户 要 避免 成 为 Phishing 的 受害 者 , 一 定 要 加 强 安 全 防范 意识 , 提高 安全 防范 技术 水 平 。 
针对 性 的 措施 可 以 归纳 为 以 下 儿 点 。 

(D 防范 二 圾 邮件 。 这 是 防范 网 络 钓鱼 最 为 重要 和 关键 的 一 步 。 当 今 绝 大 部 分 的 垃圾 邮件 都 
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携带 有 网 络 钓鱼 的 链接 ， 用 户 经 常 收 到 莫名 其 妙 的 邮件 ， 因 为 好 奇 而 点 击 其 中 的 链接 ， 随 之 而 来 
的 便 是 被 其 中 的 “廉价 ”或 者 “ 伪 冒 ”信息 所 患 惑 ， 或 者 是 被 安装 上 木马 。 因 此 ， 利 用 垃圾 邮件 
防护 工具 或 者 主动 地 对 不 明 邮 件 提高 警惕 是 防范 网 络 钓鱼 的 第 一 要 义 。 

(20 安装 防 病毒 系统 和 网 络 防火 墙 系统 。 这 是 一 个 非常 必须 的 步 双 ,多数 反 病毒 软件 都 具有 
对 包括 间谍 软件 、 木 马 程 序 的 查 杀 功能 ; 防火 墙 系统 监视 着 系统 的 网 络 连 接 ， 能 够 杜绝 部 分 攻击 
意图 并 及 时 报警 提醒 用 户 注意 。 由 于 病毒 和 黑客 攻击 手段 翻新 不 断 ， 防 病毒 和 防火 墙 系统 应 及 时 
升级 ， 定 期 杀毒 。 

(3) 及 时 给 操作 系统 和 应 用 系统 打 补 十， 堵 住 软件 漏洞 。 像 Windows 操作 系统 和 起 浏览 吉 
软件 都 存在 很 多 已 知 和 未 知 的 漏洞 ,一般 广 家 在 发 现 漏 洞 之 后 会 迅速 推出 相应 的 补丁 程序 ,， 用户 
应 当 经 常 跟 踊 操 作 系 统 和 应 用 程序 的 官方 网 站 ,充分 利用 厂商 的 资源 ,在 发 现 各 种 漏洞 时 第 一 时 
间 为 自己 的 系统 打上 安全 补丁 ， 避 免 黑客 利用 漏洞 入 侵 电 脑 ， 减 少 潜在 威胁 。 

(40 从 主观 意识 上 提高 警惕 性 ， 提 高 自身 的 安全 技术 。 首 先 要 注意 核对 网 址 的 真实 性 ， 在 访 
问 重 要 的 网 站 时 最 好 能 记 住 其 网 络 域名 或 者 IP 地 址 ， 确 保 登 录 到 正确 的 网 站 ， 避 免 点 击 搜 索引 
擎 搜索 出 的 链接 等 简便 方法 。 第 二 要 养 成 展 好 的 使 用 习惯 ， 不 要 轻易 登录 访问 陌生 网 站 、 黄 色 网 
站 和 有 黑客 嫌疑 的 网 站 ， 拒 绝 下 载 安 闭 不 明 来 历 的 软件 ， 拒 绝 可 疑 的 邮件 ， 及 时 退出 交易 程序 ， 
做 好 交易 记录 及 时 核对 等 。 

(5) 受 羡 保管 个 人 信息 资料 。 很 多 银行 为 了 保障 用 户 的 安全 ， 设 定 了 登录 密码 (查询 密 公 ) 
和 支付 密码 (取款 密码 ) 两 套 密 码 ， 用 户 若 保证 登录 密码 与 支付 密码 不 相同 ， 这 样 即使 登录 密码 
被 窃取 ， 网 络 钓鱼 者 依然 无 法 操作 用 户 的 资金 。 尽 量 选择 安全 的 密码 ， 建 议 选 用 字母 、 数 字 混 合 
的 方式 ， 以 提 融 密 人 码 猜 测 和 破解 的 难度 。 密 码 等 个 人 资料 应 受 善 保 省 并 定期 更 新 ， 避 人 免 将 密码 汇 
露 给 他 人 。 

(6) 采用 新 的 安全 技术 。 数 字 证 书 是 一 种 很 安全 的 方式 , 通过 数字 证 书 可 以 进行 安全 通信 和 
电子 数字 签名 ， 电 子 签名 具有 法 律 效力 。 网 上 交易 在 数字 证 书签 名 和 加 蜜 的 保护 下 进行 网 上 数据 
的 传送 ， 杜 绝 了 网 络 钓 鱼 者 使 用 跨 站 cookie 攻击 以 及 咒 探 侦 测 的 可 能 。 数 字 证 书 具 有 可 复制 性 ， 
如 同 家 门 钥匙 一 样 ， 用 户 应 妥善 保管 。 对 于 一 些 被 假冒 的 机 构 和 政府 相关 管理 部 门 而 言 ， 也 应 采 
取 相 应 的 措施 与 Phishing 这 种 犯罪 活动 做 斗争 .例如 ,银行 也 可 积极 采取 技术 措施 和 宣传 活动 让 
用 户 能 够 识别 真 假 ， 避 免 上 当 。 相 关 政 府 职 能 部 门 也 应 沟通 合作 ， 及 时 定位 、 关 闭 这 些 仿冒 网 站 
并 从 其 所 有 者 手中 退回 被 资 的 用 户 信息 ， 减少 直接 和 潜在 损失 。 当 然 ， 实际 工作 中 会 面临 很 多 困 
难 ， 如 技术 上 的 困难 和 司法 方面 的 困难 。 国 家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 CNCERT/CC 在 
2004 年 处 理 的 Phishing 事件 ， 基 本 上 都 是 利用 境外 网 站 实施 的 ， 难 以 及 时 关闭 。 


1.3.8 ”僵尸 网 络 


EPAR, ELAIN Botnet, 是 20 世纪 90 年 代 末 兴起 的 危害 互联 网 的 产物 ， 近 年 来 已 形 
成 重大 安全 威胁 之 一 。 伪 己 网 络 是 指 米 用 一 种 或 多 种 传播 手段 ， 将 大 量 主机 感染 bot Jr. CE 
程序 ) ， 从 而 在 控制 者 和 被 感染 主机 之 间 所 形成 的 一 个 可 一 对 多 控制 的 网 络 。 

攻击 者 通过 各 种 途径 传播 僵尸 程序 ， 感 染 互联 网 上 的 大 量 主 机 ， 而 被 感染 的 主机 将 通过 一 个 
控制 信道 接收 攻击 者 的 指令 ， 组 成 一 个 僵尸 网 络 。 之 所 以 用 僵尸 网 络 这 个 名 字 ， 是 为 了 更 形象 地 
让 人 们 认识 到 这 类 危害 的 特点 : 众多 的 计算 机 在 不 知 不 党 中 如 同 中 国庆 老 传说 中 的 僵尸 群 一 样 被 
人 驱赶 和 指挥 看 ， 成 为 被 人 利用 的 一 种 工具 。 
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僵尸 网 络 可 以 说 是 一 个 可 控制 的 网 络 ， 这 个 网 络 并 不 是 指 物理 意义 上 有 共有 拓扑 架构 的 网 络 ， 
它 具 有 一 定 的 分 布 性 ， 随 看 bot 程序 的 传播 而 不 断 有 新 位 置 的 僵尸 计算 机 添加 到 这 个 网 络 中 来 。 
这 个 网 络 是 采用 了 一 定 的 恶意 传播 手段 形成 的 ， 例 如 ， 主 动 漏洞 攻击 、 邮 件 病 毒 等 各 种 病毒 与 晴 
虫 的 传播 手段 ， 都 可 以 用 来 进行 E 
Botnet 的 传播 ， 从 这 个 意义 来 讲 ， & 
恶意 程序 bot 也 是 一 种 病毒 或 里 | Bot Herder 
虫 ， 如 图 1-11 所 示 。 

Botnet 最 主要 的 特点 是 , 它 有 T S 
别 于 以 往 简 单 的 安全 事件 ,是 一 个 a 























具有 极 大 危害 的 攻击 平 e " 它 可 以 A p Cont a & ioni wo : " 





一 对 多 地 执行 相同 的 恶意 行为 ， 将 Li pL 
攻击 源 从 一 个 转化 为 多 个 ,乃至 一 F. ub e 
个 庞大 的 网 络 体系 ,通过 网 络 来 控 A Pi Pi | ‘CA AÌ 
ERRERIK, IAE S 
网 络 危 害 ， 比 如 可 以 同时 对 某 目 标 bot Clients 
网 站 进行 DDoS 攻击 ， 同 时 发 送 大 
量 的 垃圾 邮件 ， 短 时 间 内 窃取 大 量 
敏感 信息 、 抢 占 系 统 资源 进行 非法 牟利 等 。 
僵尸 网 络 正 是 这 种 一 对 多 的 控制 关系 , 使 得 攻击 者 能 够 以 极 低 的 代价 高 效 地 控制 大 量 的 资源 
为 其 服务 ， 这 也 是 Botnet 攻击 模式 近年 来 受到 黑客 青睐 的 根本 原因 。 在 执行 恶意 行为 的 时 候 ， 
Botnet 充当 了 一 个 攻击 平台 的 角色 , 这 也 就 使 得 Botnet 不 同 于 简单 的 病毒 和 蠕虫 也 与 通常 意义 
的 森马 有 所 不 同 。 
僵尸 网 络 这 种 受 控 网 络 的 存在 , 给 危害 追踪 和 损失 抑制 带 来 巨大 的 麻烦 。 这 也 就 是 僵尸 网 络 
迅速 发 展 的 原因 。 僵 尸 网 络 已 经 成 为 国内 乃至 全 世界 的 网 络 安全 领域 最 为 关注 的 危害 之 一 。 


1.3.9 ”路 站 脚本 攻击 


跨 站 脚本 (Cross-Site Scripting, XSS) 
攻击 〈 见 图 1-12) 指 的 是 恶意 攻击 者 往 
Web 页 面 里 插入 恶意 html 代码 , 当 用 户 浏 
览 该 页 面 时 ， 髓 入 Web 里 面 的 html 代码 
会 被 执行 , 从 而 达到 恶意 用 户 的 特殊 目的 。 — 
XSS 属于 被 动 式 的 攻击 ， 因 为 其 被 动 且 不 HTTP 将 Bank com 
好 利用 ， 所 以 许多 人 常 忽视 了 其 危害 性 。 c MP 

XSS 攻击 分 成 网 类 ， 一 关 是 来 目 内 部 
的 攻击 , 主要 指 的 是 利用 程序 自身 的 漏洞 ， 
构造 路 站 语句 ; 为 一 类 则 是 来 自 外 部 的 攻 
击 ， 主 要 指 的 是 目 己 构造 XSS 路 站 漏洞 网 

















图 1-11 僵尸 网 络 示意 图 

















































5、 了 攻击 者 使 用 从 来 的 
sessionis E. DAR RR 





4. TERI P ze AR ER 
DE. XE H P BS 
cookie 和 session 信息 发 


Xd 

















Bank cam 





2， 用 户 将 嵌入 的 脚本 当 必 数据 发 送 
3、 测 览 器 执行 脚 丰 后 ， 有 返回 蛇 据 

















页 或 者 寻找 非 目 标 机 以 外 的 有 路 站 漏洞 的 图 1-12” 跨 站 脚本 攻击 示意 图 
网 页 。 
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XSS 攻击 有 多 种 方式 ， 主 要 方式 是 入 侵 者 通过 技术 手段 在 某 个 页 面 里 插入 一 个 恶意 html 代 
但 。 当 然 ， 攻 击 者 有 时 也 会 在 网 页 中 加 入 一 些 以 .JS 或 .VBS 为 后 缀 名 的 代码 时 ， 在 用 户 浏览 时 ， 





就 会 钻 攻 击 到 。 目 前 ， 以 下 类 型 的 脚本 可 以 被 插入 到 远程 页 面 中 ， 以 完成 XSS 攻击 。 


a HTML 
mn Java 

mn VB 

mn — ActiveX 
a Flash 


1.3.10 ”缓冲 区 溢出 攻击 








缓冲 区 溢出 是 一 种 非常 普遍 和 危险 的 漏洞 ， 在 各 种 操作 系统 、 应 用 软件 中 广泛 存在 。 利 用 组 





冲 区 溢出 攻击 ， 可 以 导致 程序 运行 失败 、 系 统 宕 机 、 重 
新 启动 等 后 果 。 更 为 严重 的 是 ， 可 以 利用 它 执行 非 授 权 
指令 , 其 至 可 以 取得 系统 特权 , 进而 进行 各 种 非法 操作 。 

缓冲 区 溢出 ( 见 图 1-13) 是 指 当 计算 机 向 缓冲 区 内 
填充 数据 位 数 时 超过 了 绥 冲 区 本 身 的 容量 洪 出 的 数据 
履 盖 在 合法 数据 上 ， 理 想 的 情况 是 程序 检查 数据 长 度 并 
不 允许 输入 超过 绥 冲 区 长 度 的 字符 ， 但 是 绝 大 多 数 程序 
都 会 假设 数据 长 度 总 是 与 所 分 配 的 储存 空间 相 匹配 ， 这 
就 为 缓冲 区 溢出 埋 下 隐患 。 操 作 系统 所 使 用 的 缓冲 区 
又 被 称 为 “堆栈 ”。 在 各 个 操作 进程 之 间 ， 指 令 会 被 临 
时 储存 在 “堆栈 ”当中 , “堆栈 ”也 会 出 现 缓冲 区 洪 出 。 

在 当前 网 络 与 分 布 式 系统 安全 中 ， 被 广泛 利用 的 
5096 UJ E AXE ZEE POR, 其 中 最 著名 的 例子 是 1988 年 
利用 fingerd 漏洞 的 蠕虫 。 而 缓冲 区 溢出 中 ,最 为 危险 的 
是 堆栈 溢出 ， 因 为 入 侵 者 可 以 利用 堆栈 溢出 ， 在 函数 返 
回 时 改变 返回 程序 的 地 址 ， 让 其 跳 转 到 任意 地 址 ， 带 来 
































高 地 址 








图 1-13” 绥 冲 区 洲 出 攻击 示 剖 








的 其 中 一 种 危害 是 程序 崩溃 导致 拒绝 服务 ， 态 外 一 种 危害 惑 是 跳 转 并 且 执行 一 段 恶 意 代 码 ， 比 如 


得 到 shell， 然 后 为 所 欲 为 。 


历史 上 最 著名 的 缓冲 区 溢出 攻击 可 能 要 算是 1988 年 11 月 2 日 的 Morris Worm 所 携带 的 攻击 代 
伺 了 。 这 个 因特网 蠕虫 利用 fingerd 程 序 的 缓冲 区 溢出 漏洞 ， 给 用 户 带 来 了 极 大 危害 。 此 后 ， 越 来 
越 多 的 绥 冲 区 溢出 漏洞 被 发 现 。 从 bind、wu-ftpd、telnetd、apache 等 常用 服务 程序 ， 到 Microsoft、 
Oracle 等 软件 三 商 提供 的 应 用 程序 ， 都 存在 看 似乎 永远 也 弥补 不 完 的 缓冲 区 溢出 漏洞 。 








1.3.11 SOL 注入 攻击 








SQL 注入 攻击 是 黑客 对 数据 库 进 行 攻击 的 第 用 手段 之 一 。 随 看 B/S 模式 应 用 开发 的 发 展 ， 

















使 用 这 种 模式 编写 应 用 程序 的 程序 员 也 越 来 越 多 。 但 是 由 于 程序 员 的 水 平 及 经 验 也 参 关 不 齐 ， 相 
当 大 一 部 分 程序 员 在 编写 代码 的 时 候 , 没有 对 用 户 输 入 数据 的 合法 性 进行 判断 ,使 应 用 程序 存在 




















安全 隐患 。 用 户 可 以 提交 一 段 数据 库 僵 询 代码 , 根据 程序 返回 的 结果 , 获得 某 些 他 想 得 知 的 数据 ， 
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这 就 是 所 谓 的 SQL Injection， 即 SQL 注入 。 
SQL 注入 是 从 正常 的 WWW Y HY i, 








而 且 表 和 面 看 起 来 和 一 般 的 Web 页 面 访问 没 什 通过 参数 组 合 ， 攻 击 特征 千变万化 
么 区 别 ， 所 以 目前 市 面 的 防火 墙 都 不 会 对 | Re ee 
SQL 注入 发 出 警报 ， 如 果 管 理 员 没 查看 Web | 


"OR "whatever IN (whatever) 
* "OR 2 BEIWEEN I AND 3 


Server 日 志 有 的 习惯 , 可 能 被 入 侵 很 长 时 间 都 不 E 


A pA | i É 万 化 $ . ' OR "exi "i* 
人 NM, H NS 、 si — i. o 
Wo fHié, SQL 注入 的 手法 相当 灵活 ， V 








在 注入 的 时 候 会 碰 到 很 多 意外 的 情况 ,需要 构 Ef 
造 巧妙 的 SQL 语句 ， 从 而 成 功 获取 想 要 的 数 Mesa mand 
据 ， 如 图 1-14 Pros 图 1-14 ”SQL 注 入 攻击 示意 图 


1.3.12 SAKE 


与 上 述 攻 击 方 式 相 比 , 零 日 攻击 并 不 指 代 一 种 特定 的 攻击 技术 , 它 更 多 的 是 指 代 一 种 快速 采 
用 软件 系统 等 的 漏洞 对 目标 进行 攻击 的 过 程 和 现象 。 

据 权 威 机 构 统计 , 现在 我 们 使 用 的 操作 系统 和 应 用 程序 , 每 1000 行 代 码 中 就 有 可 能 存在 4 一 
5 个 编码 漏洞 。 由 于 系统 和 应 用 程序 的 开发 商 不 可 能 对 所 有 的 代码 进行 严格 的 检查 ， 一 般 都 是 在 
系统 和 应 用 程序 发 行 后 , 不断 地 进行 后 期 测试 才 会 不 断 发 现 这 些 漏洞 ,然后 才 会 开发 相应 的 漏洞 
补丁 来 修补 这 些 漏 洞 ， 这 就 是 我 们 经 稼 说 的 系统 补丁 更 新 。 但 是 ， 当 系统 或 应 用 程序 发 行 后 ， 一 
些 技术 高 超 的 黑客 也 会 对 它们 进行 反 汇 编 ， 然 后 通过 阅读 代码 ,来 找到 编码 中 的 漏洞 。 而 由 黑客 
找到 的 漏洞 ， 他 们 并 不 会 对 外 公布 ,最 多 也 只 是 在 其 熟悉 的 内 部 流传 。 然 后 黑客 束 会 自己 编写 此 
漏洞 的 利用 脚本 ， 对 系统 或 应 用 程序 发 动 攻 击 。 通 常 ， 从 系统 或 应 用 程序 新 漏洞 的 发 现 到 利用 ， 
不 会 超过 24 小 时 ， 由 此 人 们 吏 形 象 地 把 这 种 攻击 称 为 “ 零 日 攻击 ”, 将 被 利用 的 新 漏洞 称 为 “ 零 
日 漏洞 ”。 

通常 ， 黑 客 实 施 一 次 零 日 攻击 会 按 以 下 流程 来 进行 。 

a 发现 漏 洞 。 

a 编写 漏洞 利用 脚本 。 

a 寻找 目标 发 动 攻击 。 

a ”进入 目标 网 络 或 系统 。 

a 安装 后 门 控 制 系统 或 得 到 网 络 中 机 密 数 据 。 

a 清除 攻击 痕迹 。 

但 是 ,并 不 是 所 有 的 黑客 都 会 按 这 样 的 流程 来 进行 夫 日 攻击 ,他 们 可 能 在 进入 系统 或 控制 系 
统 后 ， 会 对 系统 所 在 网 络 中 的 其 他 目标 发 动 新 的 攻击 ， 以 得 到 更 多 的 数据 ;或 者 将 被 攻 入 的 系统 
作为 攻击 其 他 网 络 目标 的 跳板 。 

目前 ， 所 有 的 操作 系统 ， 包 括 Windows、 类 Linux. FreeBSD 和 UNIX， 以 及 所 有 的 网 络 应 
用 程序 ， 包 括 IS, FTP, IE 和 SMTP 等 都 存在 零 日 漏洞 ， 也 就 存在 被 零 日 攻击 的 风险 。 正 是 由 
于 零 日 攻击 影响 的 范围 非常 广泛 ， 而 且 ， 由 于 操作 系统 或 应 用 程序 在 编码 过 程 中 不 可 能 做 到 百 分 
之 百 的 没有 错误 ， 因 此 ， 零 日 攻击 的 风险 会 在 以 后 相当 长 的 一 段 时 间 里 都 会 存在 ， 因 而 现在 我 们 
就 必须 了 解 可 以 通过 什么 样 的 方法 来 解决 零 日 攻击 带 来 的 安全 风险 。 
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1.3.13 “社会 工程 学 ”攻击 


社会 工程 学 (Social Engineering) 是 一 种 利用 人 的 弱点 : 如 人 的 本 能 反应 、 好 奇 心 、 信 任 、 信 
禁 每 进行 诸如 欺骗 、 伤 害 等 危害 手段 ， 获 取 目 身 利 益 的 手法 。 近 年 来 ， 由 于 信息 安全 厂商 不 断 开 
发 出 更 先进 的 安全 产品 ， 系 统 安全 防范 在 技术 上 越 来 越 严 密 ， 使 得 攻击 者 利用 技术 上 的 漏洞 变 得 
越 来 越 困 难 。 于 是 ， 更 多 的 人 转 问 利用 人 为 因素 的 手段 一 一 社会 工程 学 来 进行 攻击 。 

许多 信息 技术 从 业者 都 普 衣 存在 看 类 似 的 一 种 观念 : 他 们 认为 目 己 的 系统 部 署 了 先进 、 周 密 
的 安全 设备 ， 包 括 防 火场 、IDS、IPS、 漏 洞 扫 描 、 防 病毒 网 关 、 内 容 过 滤 、 安 全 审计 、 刁 份 认证 
和 访问 控制 系统 ， 甚 至 于 最 新 的 UTM 和 防水 场 ， 以 为 靠 这 些 安 全 议 施 即 可 保证 系统 的 安全 。 事 
实 上 ， 很 多 安全 行为 出 现在 统 取 内 部 人 员 【 信 息 系 统管 理 、 使 用 、 维 护 人 员 等 ) 的 信任 ， 从 而 轻 
松 弓 过 所 有 技术 上 的 保护 。 信 任 是 一 切 安全 的 基础 ， 对 于 保护 与 审核 的 信任 ， 通 各 被 认为 是 整个 
安全 链条 中 最 少 弱 的 一 环 。 为 规避 安全 风险 ， 技 术 专 家 精心 设计 的 安全 解决 方 和 荣 ， 却 很 少 重视 和 
解决 最 大 的 安全 漏洞 ， 那 驶 是 人 为 因素 。 因 此 ， 对 于 当前 的 企业 来 说 ， 人 缺乏 对 社会 工程 学 防范 的 
信息 系统 ， 不 管 其 安全 技术 多 么 先进 完善 ， 很 可 能 会 成 为 一 种 上 自我 安奈 的 摆设 ， 其 投入 大 笔 资 金 
购置 的 最 先进 的 安全 设备 ， 很 可 能 成 为 一 种 浪费 。 

社会 工程 学 攻击 基本 上 可 以 分 为 两 个 层次 : 物理 的 和 心理 的 。 与 以 往 的 入 侵 行为 相 类 似 ， 社 
会 工程 学 在 实施 之 前 要 完成 很 多 相关 的 前 期 工作 , 这 些 工 作 甚至 要 比 后 续 的 入 侵 行 为 本 号 更 为 繁 
重 和 更 具 技 巧 。 这 些 工作 包括 : 社会 工程 学 的 实施 者 (一 般 称 为 社会 工程 师 ) 必须 掌 握 心 理学 、 
人 际 关 系 学 、 行 为 学 等 知识 与 技能 ， 以 便 收集 和 掌握 实施 入 侵 行为 所 需要 的 相关 资料 与 信息 。 通 
第 为 了 达到 预期 日 的 ， 社 会 工程 学 攻击 都 要 将 心理 的 和 行为 的 攻击 两 者 结合 运用 。 其 和 常见 形式 包 
括 以 下 几 种 。 

第 一 ， 伪 钱 。 从 早期 的 求职 信 病 毒 、 爱 虫 病毒 、 茎 诞 节 趴 卡 到 目前 流行 的 网 络 钓鱼 ， 都 是 利 
用 电子 邮件 和 伪造 的 Web 站 点 来 进行 诈 统 活动 。 有 调查 显 示 ， 在 所 有 接触 诈骗 信息 的 用 户 中 ， 
有 高 达 5% 的 人 都 会 对 这 些 骗局 做 出 啊 应 。 攻 击 者 越 来 越 喜 欢 玩弄 社会 工程 学 的 手段 ， 把 和 恶 件 、 
则 诬 软 件 、 勒 过 软件 Cransom-ware) 、 流 氓 软件 等 网 络 陷阱 伪 闭 起 来 欢 统 被 害 者 。 

第 二 ， 引 诱 。 社 会 工程 学 是 现在 多 数 蠕虫 病毒 进行 传播 时 所 使 用 的 技术 ,， 它 使 计算 机 用 户 本 
能 地 去 打开 邮件 ， 执 行 具 有 诱惑 性 同时 又 具有 危害 性 的 附件 。 例 如 ， 用 一 些 关 于 某 些 型 号 的 处 理 
器 存在 运算 摄 疲 的 “下 疲 声明 ”或 更 能 引起 人 的 兴趣 的 “对 运 中 奖 ”、“ 最 新 反 病 毒 软 件 ” 等 说 
样 ， 并 给 出 一 个 页 面 链接 ， 诱惑 你 进入 该 页 面 运行 下 载 程序 或 在 线 注 册 个 人 相关 信息 ， 利 用 人 人 们 
玻 于 防范 的 心理 引诱 你 上 钩 。 

第 三 ， 式 吓 。 利 用 人 们 对 安全 、 漏 洞 、 病 毒 、 木 马 、 黑 客 等 内 容 会 特别 敏感 ， 以 权威 机 构 的 
面目 出 现 ， 散 布 诸如 安全 警告 、 系 统 风 险 之 类 的 信息 ， 使 用 危 言 答 听 的 仪 俩 恐吓 和 欺骗 计 算 机 用 
户 ， 声 称 如 条 不 及 时 按照 他 们 的 要 求 去 做 驶 会 造成 致命 的 危害 或 遭受 严重 损失 。 

第 四 ， 说 服 。 社 会 工程 师 说 服 目标 的 目的 是 增强 他 们 主动 完成 所 指派 的 任务 的 顺从 意识 ， 从 
而 成 为 一 个 可 以 被 信任 并 由 此 获得 敏感 信息 的 人 。 大 多 数 企 业 咨询 帮助 台 人 员 一 般 接 受 的 训练 都 
是 要 求 他 (她 ) 们 热情 每 人 并 尺 可 能 地 为 来 人 或 来 电 提 供 帮 助 ， 所 以 这 里 束 成 了 社会 工程 学 实施 
者 获取 有 价值 信息 的 “金太 ”。 

第 五 ， 茶 维 。 社 会 工程 师 通 常 十 分 友善 ， 很 讲究 说 话 的 艺术 ， 知 道 如 何 借助 机 会 去 迎合 人 ， 
投 其 所 好 ， 使 多 数 人 会 友 普 地 作出 回应 ， 茶 维和 虚荣 心 的 对 接 会 让 目标 乐意 继续 合作 。 
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第 六 ,渗透 。 通 第 社会 工程 学 攻击 者 都 擅长 刺探 信息， 很 多 表面 上 看 起 来 坚 无 用 处 的 信息 都 
会 被 他 们 利用 来 进行 系统 渗透 。 通 过 观察 目标 对 电子 邮件 的 啊 应 速度 、 重 视 程 度 以 及 可 能 提供 的 
相关 资料 ， 比 如 一 个 人 的 姓名 、 生 日 、ID、 电 话 号 人 码 、 管 理 员 的 IP 地 址 、 邮 箱 等 都 可 能 被 利用 
起 来 ,通过 这 些 收 集 信息 来 判断 目标 的 网 络 架 构 或 系统 密码 的 大 任 内 容 ， 从 而 用 口令 心理 学 来 分 
析 口 令 ， 而 不 仅仅 是 使 用 骏 力 人 破解 。 

除了 以 上 的 攻击 手段 ,一些 比 较 另 类 的 行为 也 开始 在 社会 工程 学 中 出 现 ,， 其 中 包括 像 翻 垃圾 
(dumpster diving) ~ JaME (shoulder surfing) 、 反 加 社会 工程 学 等 都 是 窍 取 信息 的 捷径 。 


1.3.14. 中间人 攻击 


中 间 人 攻击 (Man-in-the-MiddleAttack， 简 称 “MITM 攻击 ”) 是 一 种 “间接 ”的 入 侵 攻 击 ， 
这 种 中 间 人 攻击 是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连接 中 的 两 
台 通 信 计 算 机 之 间 ， 这 人 台 计 算 机 就 称 为 “中 间 人 ”。 然 后 入 侵 者 把 这 台 计 算 机 模拟 成 一 台 或 两 台 
原始 计算 机 ， 使 “中 间 人 ”能 够 与 原始 计算 机 建立 活动 连接 并 人 允许 其 读 取 或 修改 传递 的 信息 ， 然 
而 两 个 原始 计算 机 用 户 却 认 为 他 们 是 在 互相 通信 。 通 常 ， 这 种 “拦截 数据 一 一 修改 数据 一 一 发 送 
数据 ”的 过 程 就 被 称 为 “会 话 动 持 CSessionHijack) ”。 

AH RE SMB 会 话 劫持 、DNS 欺 纺 等 技术 者 是 典型 的 MITM KEFE. ERAR 
术 越 来 越 多 地 运用 于 以 获取 经 济 利益 为 目标 的 情况 下 时 ，MITM 攻击 成 为 对 网 银 、 网 游 、 网 上 交 
易 等 最 有 威胁 并 且 最 具 破 坏 性 的 一 种 攻击 方式 。 


1.3.15 ”密码 攻击 


密码 攻击 是 指 在 不 知 嘎 黎 钥 的 情况 下 ， 恢 复出 明文 。 通 第 情况 下 ,是 指 黑 客 通 过 于 上 和 营 握 的 
相关 情况 和 信息 ， 来 对 应 用 系统 等 所 设立 密码 的 猜测 和 破解 。 主 要 包括 以 下 儿 类 。 

a "EXE: 攻击 者 仅 能 获得 一 些 加 密 过 的 密 文 。 

a 已 知 明文 攻击 : 攻击 者 有 一 些 密 文 并 且 知 道 相 对 应 的 明文 。 

a 选择 明文 攻击 : 攻击 者 在 开始 攻击 之 前 可 以 选择 一 些 明 文 并 从 系统 中 获得 相对 应 的 密 
文 。 如 朵 攻击 者 在 攻击 中 途 可 以 根据 已 经 获得 的 信息 选择 新 的 明文 并 获得 对 应 的 密 文 ， 
则 称 为 适应 性 选择 明文 攻击 。 

a 选择 密 文 攻击 ; 攻击 者 在 开始 攻击 之 前 可 以 选择 一 些 密 文 并 从 系统 中 获得 相对 应 的 明 
文 。 如 朵 攻击 者 在 攻击 中 途 可 以 根据 已 经 获得 的 信息 选择 新 的 密 文 并 获得 对 应 的 明文 ， 
则 称 为 适应 性 选择 密 文 攻击 。 

a HARHA: 与 选择 明文 (或 密 文 ) 攻击 闫 似 。 不 同 的 是 ， 攻 击 者 可 以 得 到 被 两 个 
AEREE CHR AR) 得 到 的 密 文 《或 明文 ) 。 攻 击 者 不 知 着 这 两 个 钥 古 的 数 
值 ， 但 知道 这 两 个 钥匙 之 间 的 关系， 比如 两 个 钥匙 之 间 相 锚 一 个 比特 。 


EEN ose 


HE (B: Hacker， 或 称 骇 客 ) ， 是 指 对 计算 机 科学 、 编 程 和 设计 方面 具有 高 度 理解 的 人 。 
Hacker 这 一 词 有 以 下 几 种 不 同 的 意思 。 
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a ”在 信息 安全 (Information security)〉 业 里 ，“ 黑 客 ” 指 研究 智 取 计 算 机 安全 系统 的 人 员 。 
包括 利用 公共 通信 网 路 ， 如 互联 网 和 电话 系统 ， 在 未 经 许可 的 情况 下 ， 进 入 对 方 系统 
的 黑 帆 黑客 (英语 : black hat， 男 称 Cracker) ， 也 包括 调试 和 分 析 计 算 机 安全 系统 的 
日 由 黑客 〈 瑞 语 : white hat) 。 最 早 用 来 称呼 研究 盗用 电话 系统 的 人 士 。 

a ”在 业余 计算 机 方面 ，“ 在 客 ” 指 研究 修改 计算 机 产品 的 业余 爱好 者 。20 世纪 70 FR, 
很 多 的 这 些 群 洲 聚 焦 在 便 件 研究 ，20 世纪 80 年 代 和 90 年 代 ， 很 多 的 群落 聚焦 在 软件 
更 改 〈( 如 编写 游戏 模 组 、 攻 元 软件 版 权限 制 〉。 

a 依照 RFC 1392，“ 黑 客 ” 是 “一 位 热衷 于 研究 系统 和 计算 机 《特别 是 计算 机 网 络 ) 内 
部 运作 秘密 的 人 ”。 根 据 此 宽容 的 定义 ， 黑 客 也 可 以 包括 很 多 计算 机 和 互联 网 技术 创 
A. 

为 了 避免 误解 ， 公 众 都 必须 明确 地 区 分 开 Hacker 与 cracker 的 概念 : “黑客 ”和 “ 骇 客 ” 当 
中 的 中 文 音 诺 “ 黑 ”或 “ 骇 ” 学 总 使 人 对 黑客 有 所 误解 ， 真 实 的 黑客 主要 指 的 是 高 级 程序 员 ， 如 
Linux 创始 人 林 纳 斯 。 托 瓦 效 ， 而 不 是 为 人 所 误解 的 专 指 对 电脑 系统 及 程序 进行 恶意 攻击 及 破坏 
的 人 。 除 了 精通 编程 ， 精 通 操作 系统 如 UNIX 的 人 可 以 被 视 作 黑客 外 ， 现 在 精通 网 络 入 侵 的 人 也 
逢 看 作 是 “黑客 ”， 但 一 般 被 称 为 通 客 ， 对 便 件 设备 创新 的 工程 师 通 币 也 被 认为 是 黑客 。 

“黑客 ” (Hacker) 一 词 ， 一 般 有 以 下 意义 。 

a ”一 个 对 ( 某 领 域内 的 ) 编程 语言 有 足够 了 解 ， 可 以 不 经 长 时 间 思 考 残 能 创造 出 有 用 的 

软件 的 人 。 

a 喜爱 编程 Coding) 并 孚 受 在 其 中 ， 变 得 更 擅长 于 编程 的 人 。 

= 喜爱 和 目 由 (Freedom) ， 不 易 受 约束 ， 但 觉得 假如 是 为 了 喜爱 的 事物 ， 可 以 受 适 当 的 

约束 。 

一 个 试图 破解 未 系统 或 网 络 以 提醒 该 系统 所 有 者 的 电脑 安全 漏洞 , CHEN TETEARUMIMEE * ER 
Am sk "MARBRE (sneaker) ”。 许 多 这 样 的 人 是 电脑 安全 公司 的 雇员 ， 并 在 完全 合法 的 情况 下 
攻击 某 系统 。Hacker 是 一 个 通过 知识 或 猜测 而 对 某 段 程序 做 出 《往往 是 好 的 ) 修改 ， 并 改变 (或 
增强 ) 该 程序 用 途 的 人 。 

“133” (Cracker) 一 词 一 般 有 以 下 意义 : 一 个 恶意 “〈 一 般 是 非法 地 ) 试图 破解 或 破坏 菏 个 
程序 、 系 统 及 网 络 安全 的 人 。 在 使 用 简体字 地 区 ， 这 群 人 应 称 为 “ 骇 客 ”， 但 于 正体 字 使 用 时 称 
黑客 、 怪 客 、 垮 客 和 介 客 〈 以 读音 和 直译， 此 处 与 简体 字 地 区 的 用 词 有 所 出 入 ) 等 。 

a “Cracker” ^u] T “Hacker” . 

a “Cracker” 没 有 “Hacker” 精 神 ， 也 没有 道德 标准 。 

a “Hacker” 们 建设 ， 而 “Cracker” 们 破坏 。 

而 为 了 与 目前 业界 的 称谓 进行 统一 ， 本 书 中 我 们 所 谈 到 的 黑客 束 特 指 Cracker〈 符 合 上 述 的 
第 一 种 侣 义 ) ， 指 的 是 对 信息 系统 、 网 络 或 者 数据 实施 破坏 、 和 家 听 等 行为 的 人 。 























































































































加 届 剖析 黑客 的 攻击 手段 


黑客 进行 网 络 攻 击 是 一 件 系 统 性 很 强 的 工作 , 其 主要 工作 流程 可 以 分 为 三 大 阶段 : 攻击 前 谁 
备 、 攻 击 实施 和 攻击 后 处 理 。 又 可 以 细 分 为 以 下 七 步 : 确定 攻击 目标 、 踩 点 和 信息 收集 、 获 得 权 
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限 、 权 限 提升 、 攻 击 实施 、 留 取 后 门 程序 、 掩 盖 入 侵 浪 迹 ， 如 图 1-15 Bram. 


踩点 和 信息 收集 


权限 提升 


攻击 前 的 准备 


攻击 实施 


留 取 后 门 程序 
拖 盖 入 侵 痕迹 


图 1-15 黑客 攻击 步骤 示意 网 





1.5.1 确定 攻击 目标 


攻击 者 在 进行 一 次 完整 的 攻击 之 前 首先 要 确定 攻击 要 达到 什么 样 的 目的 , 即 给 对 方 造成 什么 
样 的 后 果 。 常 见 的 攻击 目的 有 破坏 型 和 入 侵 型 两 种 。 破 坏 型 攻击 指 的 只 是 破坏 攻击 目标 ， 使 其 不 
能 正常 工作 ， 而 不 能 随意 控制 目标 的 系统 的 运行 。 要 达到 破坏 型 攻击 的 目的 ， 主 要 的 手段 是 拒绝 
服务 攻击 CDenial of Service) 。 另 一 类 常见 的 攻击 目的 是 入 侵 攻击 目标 ， 这 种 攻击 是 要 获得 一 定 
的 权限 来 达到 控制 攻击 目标 的 目的 。 应 该 说 这 种 攻击 比 破坏 型 攻击 更 为 普遍 ， 威 胁 性 也 更 大 。 因 
为 黑客 一 旦 获取 攻击 目标 的 管理 员 权 限 就 可 以 对 此 服务 器 做 任意 动作 ,包括 破坏 性 的 攻击 。 此 类 
攻击 一 般 也 是 利用 服务 器 操作 系统 、 应 用 软件 或 者 网 络 协议 存在 的 漏洞 进行 的 。 当 然 还 有 另 一 种 
造成 此 种 攻击 的 原因 就 是 密码 泄露 ,攻击 者 靠 猜 测 或 者 穷 举 法 来 得 到 服务 器 用 户 的 密码 ， 然 后 就 
可 以 用 和 真正 的 管理 员 一 样 的 权限 对 服务 器 进行 访问 。 
1.5.2 ”踩点 和 信息 搜集 

除了 确定 攻击 目的 之 外 ， 攻 击 前 的 最 主要 工作 就 是 通过 “踩点 ”， 收 集 尽 量 多 的 关于 攻击 目 
标的 信息 。 这 些 信息 主要 包括 目标 的 操作 系统 类 型 及 版 本 ， 目 标 提供 哪些 服务 ， 各 服务 器 程序 的 
类 型 与 版 本 以 及 相关 的 社会 信息 。 

要 攻击 一 台 机 器 , 首先 要 确定 它 上 面 正在 运行 的 操作 系统 是 什么 , 因为 对 于 不 同类 型 的 操作 
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系统 ， 其 上 的 系统 漏洞 有 很 大 区 别 ， 所 以 攻击 的 方法 也 完全 不 同 ， 甚 至 同一 种 操作 系统 的 不 同 版 
本 的 系统 漏洞 也 是 不 一 样 的 。 要 确定 一 台 服 务 占 的 操作 系统 一 般 是 徘 经 验 ， 有 些 服 务 器 的 某 些 服 
务 显示 信息 会 泄露 其 操作 系统 。 还 有 一 种 不 是 很 有 效 的 方法 ， 诸 如 查询 DNS 的 主机 信息 (不 是 
IRE) 来 看 登记 域名 时 的 申请 机 器 类 型 和 操作 系统 类 型 ， 或 者 使 用 社会 工程 学 的 方法 来 获得 ， 
以 及 利用 某 些 主机 开放 的 SNMP. 的 公共 组 来 查询 。 

另外 一 种 相对 比较 准确 的 方法 是 利用 网 络 操作 系统 里 的 TCP/PP 堆栈 作为 特殊 的 “指纹 ”来 
确定 系统 的 真正 身份 。 因 为 不 同 的 操作 系统 在 网 络 底层 协议 的 各 种 实现 细节 上 略 有 不 同 。 可 以 通 
过 远程 回 目 标 发 送 特殊 的 包 ， 然 后 通过 返回 的 包 来 确定 操作 系统 类 型 。 例 如 通过 加 目标 机 发 送 一 
个 FIN 的 包 (或 者 是 任何 没有 ACK 或 SYN 标记 的 包 ) 到 目标 主机 的 一 个 开放 的 端口 ， 然 后 等 
待 回应 。 许 多 系统 如 Windows. BSDI. Cisco. HP / UX 和 IRIX 会 返回 一 个 RESET。 通 过 发 送 
一 个 SYN 包 , 它 含 有 没有 定义 的 TCP 标记 的 TCP k. MAE Linux 系统 的 回应 包 就 会 包含 这 个 
没有 定义 的 标记 ， 而 在 一 些 别 的 系统 则 会 在 收 到 SYN+BOGU 包 之 后 关闭 连接 。 或 是 利用 寻找 初 
始 化 序列 长 度 模板 与 特定 的 操作 系统 相 匹配 的 方法 。 利 用 它 可 以 对 许多 系统 分 类 , 如 较 早 的 UNIX 
系统 是 64KB 长 度 ， 一 些 新 的 UNIX 系统 的 长 度 则 是 随机 增长 。 还 有 就 是 检查 返回 包 里 包含 的 窗 
口 长 度 ， 这 项 技术 根据 各 个 操作 系统 的 不 同 的 初始 化 窗口 大 小 来 惟一 确定 它们 。 利 用 这 种 技术 实 
现 的 工具 很 多 ， 比 较 著 名 的 有 NMAP、CHECKOS、QUESO 等 。 

获知 目标 提供 哪些 服务 及 各 服务 Daemon 的 类 型 、 版 本 同样 非常 重要 ， 因 为 已 知 的 漏洞 一 般 
都 是 对 某 一 服务 的 。 这 里 说 的 提供 服务 束 是 指 通 香 我 们 提 到 的 端口 ， 例 如 一 般 telnet 在 23 Ji F1, 
FTP 在 21 mO, WWW 在 80 端口 或 8080 端口 ， 这 只 是 一 般 情况 ， 网 站 管理 完全 可 以 按 自 己 的 
意愿 修改 服务 所 监听 的 端口 号 。 在 不 同 服务 器 上 提供 同一 种 服务 的 软件 也 可 以 是 不 同 的 ， 我 们 管 
这 种 软件 叫做 Daemon， 例 如 同样 是 提供 FTP 服务 ， 可 以 使 用 wuftp、proftp，ncftp 等 许多 不 同 
种 类 的 Daemon。 确 定 Daemon 的 类 型 版 本 也 有 助 于 黑客 利用 系统 漏洞 攻破 网 站 。 

男 外 需要 获得 的 关于 系统 的 信息 束 是 一 些 与 计算 机 本 和 里 没有 关系 的 社会 信息 ,例如 网 站 所 属 
公司 的 名 称 、 规 模 ， 网 络 管理 员 的 生活 习惯 、 电 话 号 码 等 。 这 些 信 息 看 起 来 与 攻击 一 个 网 站 没有 
关系 ,实际 上 很 多 黑客 都 是 利用 了 这 类 信息 攻破 网 站 的 。 例 如 有 些 网 站 管理 员 用 自己 的 电话 号 码 
做 系统 密码 , WREE ZES, 就 等 于 向 握 了 管理 员 权限 。 进行 信息 收集 可 以 用 手工 进行 ， 
也 可 以 利用 工具 来 完成 ， 完 成 信息 收集 的 工具 叫做 扫 摘 堪 。 用 扫 朱 融 收 集 信息 的 优点 是 速度 快 ， 
可 以 一 次 对 多 个 目标 进行 扫描 。 


1.5.3 ”获得 权限 


当 收 集 到 足够 的 信息 之 后 ,攻击 者 承 要 开始 实施 攻击 行动 了 。 作 为 破坏 性 攻击 ， 只 需 利用 工 
具 发 动 攻击 即 可 。 而 作为 入 侵 性 攻击 ， 往 往 要 利用 收集 到 的 信息 ， 找 到 其 系统 漏洞 ， 然 后 利用 该 
漏 铜 获取 一 定 的 权限 。 有 时 获得 了 一 般 用 户 的 权限 驶 足以 达到 修改 主页 等 上 月 的 了 ,， 但 作为 一 次 完 
整 的 攻击 是 要 获得 系统 最 高 权限 的 ， 这 不 仅 是 为 了 达到 一 定 的 目的 ,更 重要 的 是 证 明 攻 击 者 的 能 
力 ， 这 也 符合 黑客 的 追求 。 

能 够 和 被 攻击 者 所 利用 的 漏洞 不 仅 包 括 系 统 软件 设计 上 的 安全 漏洞 , 也 包括 由 于 管理 配置 不 当 
而 造成 的 漏洞 。 前 人 不久， 因特网 上 应 用 最 普及 的 着 名 WWW 服务 器 提供 商 Apache 的 主页 被 黑客 
攻破 ， 其 主页 面 上 的 Powered by Apache 图 样 〈 羽 毛 状 的 图 画 〉 被 改 成 了 Powered by Microsoft 
Backoffice 的 图 样 ， 那 个 攻击 者 束 古 利用 了 管理 员 对 Webserver 数据 库 的 一 些 不 当 配 置 而 成 功 取 
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得 最 局 权限 的 。 

当然 大 多 数 攻击 成 功 的 范例 还 是 利用 了 系统 软件 本 喘 的 漏洞 ,造成 软件 漏洞 的 主要 原因 在 于 
编制 该 软件 的 程序 员 缺 乏 安 全 意识 。 当 攻击 者 对 软件 进行 非 正 利 的 调用 请 求 时 造成 绥 冲 区 溢出 或 
者 对 文件 的 非法 访问 。 其 中 利用 缓冲 区 溢出 进行 的 攻击 最 为 普 届 ， 据 统计 80% 以 上 成 功 的 攻击 
都 是 利用 了 绥 冲 区 溢出 漏洞 来 获得 非法 权限 的 。 

无 论 作 为 一 个 黑客 还 是 一 个 网 络 管理 员 , fb SE de tm IAE. erm HEX 
成 攻击 ， 而 管理 员 需 要 根据 不 同 的 漏洞 来 进行 不 同 的 防御 措施 。 了 解 最 狐 最 多 的 漏 铜 信息 ， 可 以 
到 诸如 Rootshell (www.rootshell.com) 、Packetstorm (packetstorm.securify.com) 、Securityfocus 
Cwww.securityfocus.com) 等 网 站 去 查找 。 


1.5.4 ”权限 提升 


系统 漏洞 分 为 远程 漏洞 和 本 地 漏 铜 两 种 。 远 程 漏洞 是 指 黑 客 可 以 在 别 的 机 需 上 直接 利用 议 漏 
洞 进行 攻击 并 获取 一 定 的 权限 。 这 种 漏 铜 的 威胁 性 相当 大 ， 黑 客 的 攻击 一 般 都 是 从 远程 漏 铜 开始 
的 。 但 是 利用 远程 漏洞 获取 的 不 一 定 是 最 高 权限， 而 往往 只 是 一 个 普通 用 户 的 权限 ， 这 样 利 第 没 
有 办 法 做 黑客 想 要 做 的 事 。 这 时 吏 需 要 配合 本 地 漏洞 来 把 获得 的 权限 进行 扩大 ， 第 第 是 扩大 至 系 
统 的 管理 员 权 限 。 只 有 获得 了 最 高 的 管理 员 权 限 之 后 ， 才 可 以 做 诸如 网 络 监 听 、 打 扫 痕 迹 之 类 的 
事情 。 要 完成 权限 的 扩大 ， 不 但 可 以 利用 已 获得 的 权限 在 系统 上 执行 利用 本 地 漏洞 的 程序 ， 还 可 
以 放 一 些 木 马 之 类 的 欺骗 程序 来 套 取 管 理 员 密码 ， 这 种 木马 是 放 在 本 地 套 取 最 高 权限 用 的 ， 而 不 
能 进行 远程 控制 。 例如 一 个 黑客 已 经 在 一 台 机 右上 获得 了 一 个 普通 用 户 的 账号 和 登录 权限 ， 那 么 
他 就 可 以 在 这 台 机 器 上 放置 一 个 假 的 su 程序 。 一 旦 黑客 放置 了 假 su 程序 ， 当 真正 的 合法 用 户 登 
录 时 ， 运 行 了 su， 并 输入 了 密码 ， 这 时 root 密码 就 会 被 记录 下 来 ， 下 次 黑客 再 登录 时 就 可 以 使 
用 su 变 成 root J 了 了。 


1.5.5 ”攻击 实施 


在 获得 能 够 进行 攻击 和 破坏 的 权限 后 , 攻击 者 就 可 以 为 所 欲 为 地 对 目标 进行 攻击 了 , PLE 
改 重要 文件 、 信 息 贸 取 、 系 统 破 坏 、 上 传 程序 等 工作 。 


15.6 ” 留 取 后 门 程序 












































































































































会 留 下 一 个 后 门 ， 人 否则 本 次 攻击 过 程 在 下 一 次 攻击 中 的 工作 就 日 费 了 ， 而 其 中 特洛伊 木马 就 是 后 
门 的 最 好 范例 。Linux 和 UNIX 中 留 后 门 的 方法 有 很 多 种 ， 多 达 十 余 种 ， 读 者 和 网 络 管 理 员 可 以 
查阅 相关 的 工具 书籍 进行 了 解 和 郧 悉 。 


1.5.7 [18:5 AERE 
如 果 攻 击 者 完成 攻击 后 就 立刻 离开 系统 而 不 做 任何 善后 工作 ， 那 么 他 的 行踪 将 很 快 被 系统 管 
理 员 发 现 ， 因 为 所 有 的 网 络 操作 系统 一 般 都 提供 日 志 记录 功能 ， 会 把 系统 上 发 生 的 动作 记录 下 来 。 


所 以 ,为 了 目 吴 的 隐 贡 性 ， 黑 客 一 般 痢 会 抹 掉 目 己 在 日 志 中 留 下 的 痕迹 。 根 据 操作 系统 的 不 同 略 有 
变化 ， 攻 击 者 在 获得 系统 最 高 管理 员 权 限 之 后 吏 可 以 随意 修改 系统 上 的 文件 了 《只 对 帅 规 UNIX 
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系统 而 言 ) ， 包 括 日 六 文件 ， 所 以 一 般 黑 客 想 要 隐藏 目 己 踩 迹 的 话 ， 就 会 对 日 六 进行 修改 。 最 向 单 
的 方法 当然 就是 删除 日 志文 件 了 ， 但 这 桩 做 虽然 避免 了 系统 管理 员 根 据 IP 退 躁 到 目 己 ,但 也 明确 
无 误 地 告诉 管理 员 , 系统 已 经 侯 入 侵 了 。 所 以 最 弟 用 的 办 法 是 只 对 日 志文 件 中 有 关 目 己 的 那 一 部 分 
做 修改 。 关 于 修改 方法 的 具体 细节 根据 不 同 的 操作 系统 有 所 区 别 ， 网 络 上 有 许多 此 类 功能 的 程序 ， 
例如 zap, wipe 等 ， 其 主要 做 法 束 是 清除 utmp. wtmp. Lastlog 和 Pacct 等 日 志文 件 中 某 一 用 户 
的 信息 ， 使 得 当 使 用 w、who、last 等 命令 奋 看 日 六 文件 时 ， 隐 震 折 此 用 户 的 信息 。 

只 修改 日 志 是 不 够 的 ， 因 为 百 密 必 有 一 汤 ， 即 使 自 认 为 修改 了 所 有 的 日 志 , 仍然 会 留 下 一 些 
蛛丝马迹 的 。 例 如 安装 了 某 些 后 门 程序 ， 运 行 后 也 可 能 被 管理 员 发 现 。 所 以 ， 黑 客 山手 可 以 通过 
奉 换 一 些 系统 程序 的 方法 来 进一步 隐藏 踩 迹 。 这 种 用 来 替换 正 第 系统 程序 的 黑客 程序 叫做 
rootkit， 这 类 程序 在 一 些 黑 客 网 站 可 以 找到 ， 比 较 常 见 的 有 LinuxRootKit。 它 可 以 蔡 换 系 统 的 Is. 
ps、netstat、inetd 等 一 系列 重要 的 系统 程序 ， 当 替换 了 1s 后 ， 驶 可 以 隐藏 指定 的 文件 ， 使 得 管理 
员 在 使 用 Is 命令 时 无 法 看 到 这 些 文件 ， 从 而 达到 隐 兰 目 己 的 目的 。 






























































本 书 第 1 章 介 绍 了 知 彼 的 要 素 ,包括 企 
业 信 息 安 全 面临 的 威胁 以 及 黑客 惯用 的 攻 
击 手 段 和 步骤 等 ,那么 ， 摆 在 企业 面前 的 课 
题 是 : 如 何 应 对 这 些 安全 威胁 ? 作为 企业 用 
i 
企业 自身 来 说 ， 自己 有 什么 技术 和 手段 可 以 
用 来 托 御 黑客 入 侵 , 做 好 信息 安全 工作 呢 ? 

本 章 将 分 问 别 类 地 详细 介绍 如 何在 各 
个 层次 来 使 用 信息 安全 的 相关 技术 来 应 对 
安全 威胁 。 
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EXE 物理 层 防护 :物理 隔离 





企业 物理 层面 临 厦 对 计算 机 网 络 与 计算 机 系统 的 物理 装备 的 威胁 ,主要 表现 在 目 然 灾害 、 电 
人 厂 辐 射 与 恶劣 工作 环境 方面 。 而 相应 的 防范 措施 包括 抗 干扰 系统 、 物 理 隅 离 、 防 辐射 系统 、 隐 号 
系统 。 在 众多 技术 当中 ， 物 理 隔 离 是 最 为 关键 和 重要 的 企业 物理 层 安 全 防护 技术 。 

在 互联 网 高 度 友 展 的 今天 , 访问 没有 好 的 防护 措施 的 企业 的 内 部 局 域 网 对 于 外 部 的 恶意 访问 
者 来 说 并 非 难事 ， 他 们 通 间 可 以 宁 探 、 非 法 获取 其 全 是 恶意 毁坏 企业 的 宝 贯 数据 和 资料 ， 从 而 对 
企业 造成 不 可 的 回 的 经 济 损 失 。 当 前 绝 大 多 数 的 企业 都 在 物理 层面 采用 了 物理 隔离 的 措施 将 本 地 
局 域 网 和 互联 网 进行 隔离 ， 保 证 两 个 网 络 的 不 可 互 访 ， 从 而 达到 保护 内 网 数据 安全 的 目的 。 

目前 看 来 ， 对 安全 要 求 比 较 高 的 企业 ， 一 般 会 采用 物理 隔离 网 闸 来 实现 企业 的 网 络 管理 。 物 
理 隔离 网 闸 是 使 用 市 有 多 种 控制 功能 的 固态 开关 读 写 介质 连接 两 个 独立 主机 系统 的 信息 安全 设 
备 。 由 于 物理 隅 离 网 闸 所 连接 的 两 个 独立 主机 系统 之 间 ， 不 存在 通信 的 物理 连接 、 泌 辑 连 接 、 信 
县 传输 命令 、 人 信息 传输 协议 ， 不 存在 依据 协议 的 信息 包 转 友 ， 上 只 有 数据 文件 的 无 协议 “摆渡 ”， 
且 对 固态 存储 介质 只 有 “该 ”和 “ 写 ” 两 个 命令 。 所 以 ， 物 理 隔 离 网 阅 从 物理 上 隔离 、 阻 新 了 具 
有 洪 在 攻击 可 能 的 一 切 连接 ， 使 “黑客 ”无 法 入 侵 、 无 法 攻击 、 无 法 破坏 ;物理 隔离 网 阅 可 以 解 
决 以 下 威胁 :操作 系统 漏洞 、 入 侵 、 基 于 TCP/IP 漏洞 的 攻击 、 基 于 协议 漏洞 的 攻击 、 木 马 、 基 
于 隧道 的 攻击 、 基 于 文件 的 攻击 等 。 这 些 是 互联 网 目前 存在 的 绝 大 部 分 主要 威胁 ， 物 理 隅 离 网 闸 
MARELE EMTALA 4. 

物理 隔离 网 闸 最 早出 现在 美国 、 以 色 列 、 俄 罗斯 等 国家 的 车 方 , 用 以 解决 涉 密 网 络 与 公共 网 
络 连接 时 的 安全 。 俄 罗斯 的 Ry Jones， 以 色 列 的 Buky Carmeli、Elad Baron、Daniel Steiner 等 人 
都 是 该 领域 的 先驱 ， 后 者 现在 美国 开 公 司 。 目 前 最 大 的 物理 隔离 公司 当 属 美国 的 Whale 
communications 公司 ，Spearhead 公司 也 不 小 。 随 看 我 国电 子 政务 的 快速 友 展 ， 外 部 网 络 连接 寿 
三 大 民众 , 内 部 网 络 连 接 独 政府 公务 员 果 面 办 公 系 统 , 专 网 连接 看 各 级 政府 的 信息 系统 , 在 外 网 、 
内 网 、 专 网 之 间 交 换 信 息 是 基本 要 求 。 如 何在 保证 内 网 和 专 网 资源 安全 的 前 提 下 ， 实 现 从 民众 到 
政府 的 网 络 畅 通 、 资 源 共享 、 方 便 快捷 是 电子 政务 系统 建设 中 必须 解决 的 技术 问题 。 一 般 采 取 的 
IREEN ed 55 pz RISETT EI JG B RE E. 在 内 网 与 专 网 之 间 实 行 物理 隔离 。 出 于 对 重要 
言 电 、 文 件 保 护 的 目的 ， 物 理 隅 离 网 阐 开 始 被 人 们 接受 ， 物 理 隔离 网 辣 成 为 电子 政务 信息 系统 必 
须 配 置 的 设备 。 

物理 隔离 网 疗 主 要 由 内 网 处 理 单 元 、 外 网 处 理 单 元 、 安 全 隅 离 与 信息 交换 处 理 单 元 三 部 分 组 
成 。 外 网 处 理 单元 与 外 网 〈 如 Internet) 相连， 内 网 处 理 单元 与 内 网 (如 车 队 网 ) 相连 ;安全 隔 
离 与 信息 交换 处 理 单 元 通过 专用 便 件 断 开 内 、 外 网 的 物理 连接 ， 并 在 任何 时 刻 只 与 其 中 一 个 网 络 
连接 ， 读 取 等 待 发送 的 数据 ， 然 后 “推送 ”到 为 一 个 网 络 上 。 在 切换 速度 非常 快 的 情况 下 ， 可 以 
实现 信息 的 实时 交换 。 

物理 隔离 卡 是 物理 隔离 的 低级 实现 形式 ， 一 个 物理 隔离 卡 上 只 能 管 一 人 台 个 人 计算 机 ， 甚 全 只 可 
能 在 Windows 环境 下 工作 ， 每 次 切换 都 需要 开关 机 一 次 。 物 理 隔离 网 闻 是 物理 隔离 的 高 级 实现 形 
式 ， 网 闸 可 以 管理 整个 网 络 ， 不 需要 开关 机 。 网 疗 实现 后 ， 原 则 上 不 再 需要 物理 隔离 卡 。 安 全 隔离 
是 一 种 馆 辑 隔离， 防火 场 承 是 一 种 旬 辑 隔离 ， 因 此 防火 场 也 是 一 种 安全 隔离 。 有 些 广 商 对 安全 隔离 
增加 了 一 些 特点 ， 如 采用 了 双 主 机 结构 ， 但 双 主 机 之 间 却 是 通过 包 来 转发 的 ， 如 图 2-1 所 示 。 

























































































































































































无 论 双 主机 之 间 采 用 了 多 么 严格 的 安全 
榨 友 ,但 只 要 是 包 转 发 ， 束 存 在 基于 包 的 安全 
漏洞 ， 存 在 对 包 的 攻击 。 这 在 本 质 上 同 两 个 防 
火 墙 串 联 并 无 本 质 的 芝 别 。 从 目前 已 经 存在 的 
TEMAN, GAUA PRA: 通过 是 口 或 并 





























口 来 实现 双 主 机 之 间 的 包 转 发 ， 通 过 USB 或 MAREE 
1394 或 firewire CK) 等 方式 来 实现 双 主 机 图 2-1 网 闸 原理 图 


之 间 的 包 转 发 ， 其 至 是 直接 通过 以 太 线 来 实现 
双 主 机 之 则 的 包 转 发 ， 以 及 其 他 任何 形式 的 通信 方式 来 实现 双 主 机 之 间 的 包 转 发 如 专用 ASIC 开 
关 电 路 、ATM、Myrinet 卡 等 ， 都 是 安全 隔离 网 前 ， 但 都 不 是 物理 隔离 网 闸 。 

对 于 企业 用 户 来 说 ， 物 理 隔 离 网 曾 适 用 于 以 下 五 种 典型 应 用 场合 。 

1. 局 域 网 与 互联 网 之 则 (内 网 与 外 网 之 间 ) 


有 些 局 域 网 络 , 特别 是 政府 办 公 网 络 , 涉及 政府 敏感 信息 , 有 时 需要 与 互联 网 在 物理 上 上 断 开 ， 
用 物理 隔离 网 阅 是 一 个 利用 的 办 法 。 


2. 办 公 网 与 业务 网 之 间 


由 于 办 公 网 络 与 业务 网 络 的 信息 敏感 程度 不 同 , 例如 , 银行 的 欢 公 网 络 和 银行 业务 网 络 融 是 
很 典型 的 信息 敏感 程度 不 同 的 两 关 网 络 。 为 了 提高 工作 效率 ， 办 公 网 络 有 时 需要 与 业务 网 络 交 换 
信息 。 为 解决 业务 网 络 的 安全 ， 比 较 好 的 办 法 就 是 在 办 公 网 与 业务 网 乙 间 使 用 物理 隔离 网 闸 ， 实 
现 两 闫 网 络 的 物理 隅 离 。 


3. 电子 政务 的 内 网 与 专 网 之 间 


在 电子 政务 系统 建设 中 要 求 政 府内 网 与 外 网 之 间 用 人 逻辑 隔离 , 在 政府 专 网 与 内 网 之 间 用 物理 
隔离 。 现 党 用 的 方法 是 用 物理 隔离 网 闸 来 实现 。 
4. 业务 网 与 互联 网 之 间 


电子 商务 网 络 一 边 连接 看 业务 网 络 服务 器 ,一 边 通过 互联 网 连接 痢 广 大 民众 。 为 了 保障 业务 
网 络 服务 融 的 安全 ， 在 业务 网 与 互联 网 之 间 应 实现 物理 隔离 。 


5. 涉 密 网 与 非 涉 密 网 之 间 


电子 政务 建设 中 一 般 都 对 网 络 按照 安全 级 别 进行 了 安全 域 的 划分 , 这 在 一 定 程 度 上 你 证 了 信 
恩 的 安全 ， 非 涉 密 的 系统 及 面向 公众 的 信息 采集 和 发 布 系统 主要 运行 在 非 涉 密 网 部 分 。 涉 密 网 、 
非 涉 密 网 之 间 物 理 隅 离 ， 依 照 水蜜 信息 “最 小 化 ”原则 ， 进 行 涉 密 网 和 非 水蜜 网 乙 间 两 个 不 同 的 
信息 安全 域 信息 的 适度 “可 徘 区 换 ”。 

物理 隔离 网 闸 在 网 络 的 第 七 层 将 数据 还 原 为 原始 数据 文件 ， 然后 以 “ 控 渡 文件 ”的 形式 来 传 
好 原 始 数 据 。 任 何 形式 的 数据 包 、 信 息 传输 命令 和 TCP/IP 协议 都 不 可 能 军 透 物理 隔离 网 闸 。 根 
据 我 国 计 算 机 网 络 安 全 管理 的 规定 , 物理 隔离 网 闻 需 要 取得 公安 部 、 国 家 保密 局 和 中 国信 息 安 全 
测评 认证 中 心 的 安全 产品 的 测评 认证 证 书 。 在 此 基础 上 ， 进 入 车 事 领 域 , 还 需要 车 队 测 评 认证 中 
心 的 认证 证 书 。 
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涉及 国家 秘密 的 计算 机 信息 系统 , 不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信息 网 络 相 连 
接 ， 必 须 实行 物理 隔离 。 涉 密 网络 必 须 在 物理 隔离 的 基础 上 实现 WWW 浏览 和 自由 收发 E-mail。 
各 级 政府 机 关 和 涉 密 单位 ， 必 须 将 已 建成 的 办 公 局 域 网 同 Internet 或 上 一 级 专 网 实行 物理 隔离 ， 
正在 建设 的 电子 政务 网 络 必须 实现 物理 隔离 。 除 了 党 政 军 外 ， 其 他 行业 和 部 门 纷纷 颁布 建设 规范 
和 管理 办 法 ， 要 求 使 用 物理 隔离 。 电 力 、 铁 道 、 人 金融、 银行、 证券、 保险 、 税 务 、 海 关 、 水 利 、 
交通 、 民 航 、 社 保 、 石 化 等 行业 部 门 ， 要 求 在 物理 隔离 的 条 件 下 实现 安全 的 数据 库 数 据 交 换 。 为 
了 保证 电子 政务 和 电子 商务 体系 中 关键 系统 的 安全 性 , 物理 隔离 网 闸 将 确保 关键 网 络 和 涉 密 网 络 
万 无 一 失 ， 同 时 又 能 提供 网 络 业务 的 互联 互通 。 

目前 市 场 上 出 现 专 门 应 用 于 特定 行业 的 物理 隔离 网 闻 , 如 供应 电力 专用 物理 隔离 网 闻 是 一 种 
专门 为 电力 系统 “二 次 安全 防护 ”设计 的 一 球 香 问 物 理 隅 离 网 闻 。 主 要 应 用 于 实时 控制 区 (I 区， 
或 者 DCS W) 、 非 控制 生产 区 AK) 与 生产 管理 区 CHI, IV 区 ,或 MIS 网 ) 完全 的 网 络 物理 
隔离 ， 并 保证 二 HL bn HI, IV 区 有 效 实 时 地 传输 数据 ， 但 反 过 来 ， 任 何 网 络 入 侵 、 病 毒 的 攻 
击 均 被 有 效 地 阻隔 ， 这 样 就 可 在 最 大 限度 上 防止 黑客 、 病 毒 的 侵害 。 












































EFJ 系统 层 防护 : 安全 操作 系统 和 数据 库 安全 


众所周知 ， 操 作 系统 以 及 数据 库 是 现代 计算 机 技术 中 最 为 后 层 和 核心 的 软件 系统 。 那 么 ， 企 
业 系 统 层次 的 安全 问题 主要 来 目 于 网 络 内 使 用 的 操作 系统 的 安全 和 数据 库 安 全 层面 上 。 针 对 操作 
系统 和 数据 库 的 安全 技术 林林总总 ， 也 体现 在 应 用 的 不 同 层面 上 ， 丁 将 从 保障 企业 系统 层 安 全 
的 核心 层次 出 发 ,看重 从 安全 操作 系统 、 密 人 码 设 定 策略 及 数据 库 安 全 拉 术 三 方面 进行 讲解 ， 其 他 
的 网 络 层面 和 应 用 层面 与 其 相关 的 防护 技术 将 在 后 续 专 题 中 详细 讲解 。 


2.2.1 选用 安全 操作 系统 


操作 系统 作为 计算 机 系统 的 最 为 基础 和 重要 的 基础 软件 和 系统 软件 ， 起 看 管理 计算 机 资源 ， 
和 直接 利用 计算 机 便 件 为 用 户 提 供与 价 件 相关 、 与 应 用 无 关 的 使 用 和 编程 接口 的 作用 。 它 是 上 层 应 
用 软件 获得 高 可 靠 性 以 及 信息 的 完整 性 、 保 密 性 的 基础 。 没 有 操作 系统 安全 的 文 持 ， 束 没有 获得 
网 络 安全 的 可 能 。 为 了 保证 企业 计算 机 网 络 和 信息 的 安全 ， 有 必要 采用 具有 较 高 安全 级 别 的 安全 
操作 系统 来 作为 企业 稳固 的 安全 操作 和 平台。 美国 国防 部 (DoD) 于 1983 年 推出 了 和 著名 的 TCSEC 
(Trusted Computer System Evaluation Criteria， 可 信人 计算 机 评估 准则 〉 , KU RP” , AX 
今 为 止 评估 计算 机 安全 最 有 名 的 一 个 标准 。 它 将 计算 机 信息 系统 的 安全 分 为 四 等 八 个 级 刘 ， 由 低 
到 高 依次 为 : D、C1、C2、B1、B2、B3、Al、 超 Al1。 按 照 这 个 标准 ， 传 统 的 操作 系统 ， 包 括 
UNIX 操作 系统 、Windows 操作 系统 大 都 处 于 C 级 ,它们 的 安全 级 别 不 是 很 高 。 而 许多 安全 级 别 
高 的 操作 系统 ， 比 如 Trusted Information Systems. Trusted XENIX、SNS 等 都 处 于 实验 宇 阶 段 ， 
尚未 投入 市 场 。 另 外 ， 国 内 对 安全 操作 系统 的 研究 工作 也 在 如 淡 如 茶 地 进行 ， 我 国 从 20 世纪 90 
年 代 开 始 研 究 安 全 操作 系统 ， 到 目前 已 经 取得 了 一 些 成 果 。 从 1993 年 我 国 宣布 开发 成 功 具 有 B2 
集 功 能 的 操作 系统 ， 现 在 已 有 众多 的 公司 和 科研 单位 开始 注重 安全 操作 系统 的 研发 ， 比 如 中 科 红 
旗 公 司 开 发 的 红旗 Linux、 丙 京 大 学 的 Softos、 国 防 科大 的 碳 脱 安全 操作 系统 、 中 科 安 胜 公司 的 
安 胜 操作 系统 等 。 
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在 安全 操作 系统 中 ,对 操作 系统 进行 安全 加 固 和 安全 理论 模型 是 从 根本 上 解决 操作 系统 安 
全 性 问题 的 两 项 非常 重要 的 技术 。 我 们 首先 谈 谈 操作 系统 安全 加 固 技术 ， 它 有 以 下 几 种 方法 ， 
如 图 2-2 所 示 。 


非 安全 操作 PRE 


非 安全 操 系统 作 系 统 仿真 
作 系 统 


安全 内 核 安全 内 核 





原 有 系统 虚拟 型 系统 改进 /增强 型 系统 仿真 型 系统 
图 2-2 ”操作 系统 的 几 种 加 固 方式 





(1) 虚拟 机 法 。 在 现 有 的 操作 系统 与 便 件 之 间 增 加 一 个 新 的 层次 ， 作 为 安全 内 核 ， 现 有 操作 
系统 几乎 可 以 不 作 任 何 变动 而 成 为 虚拟 机 。 安 全 内 核 的 接口 基本 与 原 有 硬件 等 价 ， 操 作 系统 本 身 
透明 地 在 安全 内 核 的 控制 之 下 ,， 它 可 以 不 变 地 文 持 现 有 的 应 用 程序 ， 并且 能 够 很 好 地 兼容 非 安全 
操作 系统 的 未 来 版 本 。 便 件 特性 对 虚拟 机 的 实现 非常 关键 , 它 要 求 原 系 统 的 硬件 和 结构 都 必须 要 
文 持 虚 拟 机 ， 因 而 这 种 加 固 方式 的 局 限 性 比较 大 。 

(2) 增强 法 。 在 现 有 的 操作 系统 基础 上 ， 对 原 有 的 内 核 以 及 应 用 程序 采用 一 定 的 安全 策略 进 
行 改进 ， 并 且 加 入 相应 的 安全 机 制 ， 形 成 狐 的 操作 系统 内 核 。 这 样 ， 增 强 后 的 操作 系统 保持 了 原 
来 操作 系统 的 用 户 接 口 。 这 种 方法 是 在 已 有 操作 系统 基础 上 进行 的 , 不 是 对 原 有 内 核 的 完全 改变 ， 
因而 受到 原 有 体系 结构 的 限制 ,难以 达到 很 高 的 安全 级 别 。 但 是 这 种 方法 并 不 会 破坏 原 有 系统 的 
体系 结构 ， 开 发 代价 小 ， 不 会 影响 原 系 统 的 运行 效率 ， 现 在 普遍 采用 的 是 这 种 方式 。 

(3) 仿真 法 。 对 现 有 的 操作 系统 的 内 核 作 面向 安全 策略 的 修改 ,然后 在 安全 内 核 与 原 非 安 全 
操作 系统 的 用 户 接口 中 髓 入 仿真 程序 。 那 么 ,我 们 在 建立 安全 内 核 的 时 候 ， 可 以 不 必 如 第 二 种 方 
法 一 样 受到 现 有 应 用 程序 的 限制 , 而 且 可 以 完全 自由 地 定义 仿真 程序 与 安全 内 核 之 间 的 接口 。 然 
而 ， 采 用 这 种 方式 需要 同时 设计 仿真 程序 以 及 安全 内 核 ， 还 要 受到 原 操作 系统 接口 的 限制 ,同时 
开发 难度 大 ， 接 口 复 杂 。 

在 安全 操作 系统 的 理论 模型 方面 ， 我们 通常 提 到 BLP 模型 。Bell & LaPadula (BLP) 模型 是 
由 David Bell 和 Leonard La Padula F 1973 年 提出 的 安全 模型 ， 它 同时 也 是 一 个 状态 机 模型 。 它 
是 定义 多 级 安全 性 的 基础 ， 被 视 作 基 本 安全 公理 。 该 公理 最 早 是 在 Multics 安全 操作 系统 中 得 到 
实施 。 虽 然 从 商业 角度 来 看 ， 该 操作 系统 并 不 成 功 ， 但 是 单 从 安全 性 角度 来 看 ，Mnultics 迈 出 了 
安全 操作 系统 设计 的 第 一 步 ， 为 后 来 的 安全 操作 系统 的 研制 工作 积累 了 大 量 丰 富 的 经 验 。 随 后 它 
又 在 Secure Xenix、System V/MLS、Tunis、VAX 的 VMM 安全 核心 等 多 种 安全 系统 的 研制 中 得 
到 了 广泛 的 应 用 。 

该 模型 将 计算 机 信息 系统 中 的 实体 分 为 两 部 分 ， 主 体 和 客体 。 凡 是 实施 操作 的 称 为 主体 ， 比 
如 说 用 户 和 进程 ， 而 被 操作 的 对 象 则 称 为 客体 ， 比 如 说 文件 、 数 据 库 等 。 对 主体 和 客体 而 言 ， 存 
在 着 两 种 最 重要 的 安全 控制 方法 ， 它 们 是 强制 存 取 控制 以 及 自主 存 取 控 制 方式 。 

a ”强制 存 取 控 制 。 主 要 是 通过 “安全 级 ”来 进行 ， 安 全 级 包含 “密级 ”和 “部 门 级 ”两 
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方 和 面 ， 密 级 义 分 为 无 密 、 秘 密 、 机 密 、 绝 密 四 级 。 为 了 实施 强制 型 安全 控制 ， 主 体 和 
客体 均 补 赋予 “安全 级 ”。 两 者 的 关系 包含 三 后 : © 主体 的 安全 级 高 于 客体 ， 当 且 仪 
当主 体 的 密级 高 于 客体 的 密级 ， 且 主体 的 部 门 级 包含 客体 的 部 门 级 ; 包 主 体 可 以 读 客 
体 ， 当 且 仪 当主 体 安 全 级 高 于 或 者 等 于 客体 ; 公主 体 可 以 号 客体 ， 当 且 仅 当主 体 安 全 
































级 低 于 或 者 等 于 客体 。 
a ” 目 主 存 取 控制 。 主 体 对 其 拥有 的 客体 ， 有 权 决 定 自 己 和 他 人 对 该 客体 应 具有 怎样 的 访 
问 权 限 。 











在 这 个 模型 当中 ， 每 个 主体 有 最 大 安全 级 和 当前 安全 级 ， 每 个 客体 有 一 个 安全 级 。 主 体 对 客 
体 有 四 种 存 取 方 式 : 只 读 、 只 写 、 执 行 以 及 读 写 。 该 模型 当中 有 以 下 两 条 很 重要 的 规则 ， 如 图 2-3 
所 示 。 











dii 
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K|2-3 BLP 模型 安全 规则 示意 图 
CIO 简单 安全 特性 。 是 指 主 体 只 能 够 从 下 读 、 同 上 写 。 为 了 使 主体 对 客体 既 能 读 又 能 写 ， 二 
者 的 安全 级 别 必须 完全 一 样 。 
(2) * 一 一 特性 。 主 体 对 客体 有 “只 写 ” 权 限 ， 则 客体 安全 级 至 少 和 主体 的 当前 安全 级 一 样 
mu; 主体 对 客体 有 “ 读 ” 权 限 ， 则 客体 安全 级 应 该 小 于 或 者 等 于 主体 当前 安全 级 ; 主体 对 客体 有 
“证 写 ”权限 ， 则 客体 安全 级 等 于 主体 的 当前 安全 级 。 


2.22 ”操作 系统 密码 设 定 






































设 定 登 录 密 码 是 一 项 非常 重要 的 安全 措施 ,如 采用 户 的 密 但 设 定 得 不 合适 , 豆 很 容易 被 做 详 ， 
尤其 是 拥有 超级 用 户 使 用 权限 的 用 户 ， 如 末 没 有 民 好 的 密码 ， 将 给 系统 造成 很 大 的 安全 漏洞 。 在 
多 用 户 系 统 中 ， 如 果 强 迫 每 个 用 户 选 择 不 易 猜 出 的 密码 ， 将 会 大 大 提高 系统 的 安全 性 。 但 如 果 
passwd 程序 无 法 强迫 每 个 上 机 用 户 使 用 恰当 的 密码 ， 要 确保 密码 的 安全 上 度 ， 束 只 能 依 徘 密码 破 
解 程序 了 。 

实际 上 ,密码 人 破解 程序 是 黑客 工具 箱 中 的 一 种 工具 , 它 将 常用 的 密码 或 者 是 瑞 文 字典 中 所 有 
可 能 用 来 作 密 人 码 的 凶 都 用 程序 加 密 成 密码 学 , 然后 将 其 与 Linux 系统 (/etc/passwd) 或 者 Windows 
系统 的 密码 文件 (SAM) 相 比 较 ， 如 果 友 现 有 吻合 的 蜜 码 ， 束 可 以 求 得 明码 了 。 
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在 网 络 上 可 以 找到 很 多 密码 破解 程序 ， 比 较 有 名 的 程序 是 crack。 用 户 可 以 目 己 先 执行 密码 
破解 程序 ， 找 出 容易 被 黑客 人 破解 的 密码 ， 先 行 改正 总 比 被 黑客 人 破解 要 有 利 。 
目前 密码 破解 程序 大 多 采用 字典 攻击 以 及 暴力 攻击 手段 , 而 其 中 用 户 密 人 码 设 定 不 当 ， UPC 
受到 字典 攻击 的 威胁 。 很 多 用 户 辟 欢 用 目 己 的 英文 名 、 生 日 或 者 账户 等 信息 来 设 定 密 取 ， 这 样 ， 
墨客 可 能 通过 字典 攻击 或 者 是 社会 工程 手段 来 破解 密码 。 所 以 建议 用 户 在 设 定 密码 的 过 程 中 ,应 
尽量 使 用 非 学 典 中 出 现 的 组 合 字符 , 并 且 采 用 数字 与 字符 相 结合 、 大 小 写 相 结合 的 密码 设置 方式 ， 
增加 密码 被 黑客 破解 的 难度 。 而 且 ， 也 可 以 使 用 定期 修改 密码 、 使 密码 定期 作废 的 方式 ， 来 你 护 
目 己 的 登录 密码 。 
下 面具 体 列 出 几 条 参考 原则 《 几 个 需要 这 循 ) 。 
a 口令 长 度 至 少 为 8 个 字符 。 口 令 越 长 越 好 。 奋 使 用 MD5 口令 ， 它 应 该 全 少 有 15 个 子 
Io AEH DES 口令 ， 则 使 用 最 长 长 度 〈8 个 字符 ) 。 
a 混和 大 小 写字 母 。Linux 区 分 大 小 写 ， 因 此 混和 大 小 写 会 增加 口令 的 强健 程度 。 
a 混和 字母 和 数字 。 在 口令 中 诬 加 数字 ， 特 别 是 在 中 间 座 加 《不 只 在 开头 和 结尾 处 ) 能 
够 加 强 口令 的 强健 性 。 
a ”包括 字母 和 数字 以 外 的 字符 。&&、$ 和 > 之 类 的 特殊 子 从 可 以 极 大 地 增强 口令 的 强健 性 
(大使 用 DES 口令 ， 则 不 能 使 用 此 尖子 符 ) 。 
a 挑 饮 一 个 你 可 以 记 住 的 口令 。 如 末 你 记 不 住 目 己 的 口令 ， 那 么 它 再 好 也 没有 用 ;使 用 
人 简写 或 其 他 记忆 方法 来 帮助 你 记忆 口令 。 
为 外 ， 还 有 一 些 原则 需要 牢记 几 个 不 要 ) 。 
a 不 要 只 使 用 单词 或 数字 。 绝 不 要 在 口令 中 上 只 使 用 单词 或 数字 。 
a ”不要 使 用 现成 词汇 。 像 名 称 、 词 典 中 的 词汇 ， 其 全 电视 剧 或 小 说 中 的 用 语 ， 即 使 在 两 
闹 使 用 数 子 ， 必 应 该 吉 急 。 
" ”不要 使 用 外 语 中 的 词汇 。 口 令 破 译 程序 经 常 使 用 多 种 语言 的 词典 来 检查 其 词汇 列表 。 
依赖 外 语 来 达到 你 护 口令 的 目的 通 第 不 起 作用 。 
a ”个 要 使 用 黑客 术语 。 
a 不 要 使 用 个 人 信息 。 千 万 不 要 使 用 个 人 信息 。 如 有 果 攻 击 者 知 关 你 的 身份 ， 推 导出 你 所 
用 口令 的 任务 融会 变 得 非常 容易 。 
sa 不 要 倒转 现存 词汇 。 优 秀 的 口令 做 译 者 总 是 倒转 常用 词汇 ， 因 此 倒转 薄弱 口令 并 不 会 
使 它 更 安全 。 
a 不 要 笔录 你 的 口令 。 绝 不 要 把 口令 与 在 纸 上 。 把 它 牢 记 在 心 才 更 为 安全 。 
s 不 要 在 所 有 机 左上 都 使 用 同样 的 口令 。 在 每 个 机 磊 上 使 用 不 同 的 口令 是 极其 重要 的 。 
这 样 ， 如 果 一 个 系统 泄密 了 ， 上 所 有 其 他 系统 都 不 会 立即 受到 威胁 。 


2.2.3 数据库 安全 技术 


企业 数据 库存 储 着 许多 敏感 性 数据 ， 例 如， 企业 机 密 资 料 、 公 司 的 客户 信息 资料 每 。 黑 客 利 
用 操作 系统 和 数据 库 的 漏洞, 能 轻易 地 获取 你 数据 库 中 的 数据 (经营 策略 、 客 尸 资料、 设计 资料 、 
人 事 资料 等 ), 这 些 文件 一 旦 被 潜在 的 黑 铬 或 竞争 对 手 贸 取 , 必 将 给 国家 或 企业 市 来 极 大 的 危害 。 
而 且 这 种 危害 的 严重 性 在 于 它 是 潜在 的 ， 根 本 无 法 穴 党 。 不 像 现 实 社 会 中 物品 的 失 锣 ， 很 快 束 能 
罕 觉 到 ， 而 数据 、 电 子 信息 一 旦 被 宅 ， 是 很 难 发 现 的 ， 并 且 不 会 留 下 任何 痕迹 。 也 许 你 的 机 密 资 
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料 已 经 不 知 不 觉 地 被 甸 取 ， 沙 入 竞争 对 手 或 不 法 分 子 的 手中 ， 你 却 浑然 不 知 ， 数 据 的 失 密 将 对 国 
家 的 安全 和 企业 的 苋 搜 力 产 生 潜 在 的 、 无 法 信和 量 的 威胁 。 针 对 这 种 情况 ， 可 以 从 以 下 儿 方 面 进 行 
安全 防护 。 

1) 数据 库 用 户 安 全 官 理 

企业 数据 库 是 一 个 极为 复杂 的 系统 ， 因 此 很 难 进行 正确 的 配置 和 安全 维护 ， 当 然 ， 衣 先 必 须 
要 保证 的 融 是 数据 库 用 户 权限 的 安全 性 。 在 企业 门户 网 站 中 ， 当 用 尸 通过 Web 方式 对 数据 库 中 的 
对 象 〈 表 、 视 图 、 解 发 器 、 存 储 过 程 等 ) 进行 操作 时 ， 必 须 通 过 数据 库 访问 的 身份 认证 。 多 数 数据 
库 系 统 还 有 众所周知 的 默认 账号 和 和 密码 ,可 支持 对 数据 库 资源 的 各 级 访问 。 因 此 , 很 多 重要 的 数据 
库 系 统 很 可 能 受到 威胁 。 用 户 存 取 权 限 是 指 不 同 的 用 户 对 于 不 同 的 数据 对 象 有 不 同 的 操作 权限 。 存 
取 权 限 由 两 个 要 桑 组 成 : 数据 对 象 和 操作 类 型 。 定 义 一 个 用 户 的 存 取 权 限 束 是 要 定义 该 用 户 可 以 在 
哪些 数据 对 象 上 进行 哪些 类 型 的 操作 。 权 限 分 系统 权限 和 对 象 权限 两 种 。 系 统 权 限 由 DBA 授予 某 
坚 数 据 库 用 户 ， 只 有 得 到 系统 权限 ,才能 成 为 数据 库 用 尸 。 对 象 权 限 是 授予 数据 库 用 尸 对 东 些 数据 
对 象 进行 某 些 操作 的 权限 ， 它 既 可 由 DBA 授权 ， 也 可 由 数据 对 象 的 创建 者 授予 。 

2) 严格 定义 用 户 访问 视图 

为 不 同 的 用 户 定 义 不 同 的 视图 ， 可 以 限制 用 户 的 访问 范围 。 通 过 视图 机 制 把 需要 你 密 的 数据 
对 无 权 存 取 这 坚 数据 的 用 户 隐 韦 起 来 , 可 以 对 数据 库 提 供 一 定 程 度 的 安全 你 护 。 实 际 应 用 中 第 将 视 
图 机 制 与 授权 机 制 结合 起 来 , 痛 先 用 视图 机 制 屏 殴 一 部 分 你 密 数 据 ,然后 在 视图 上 进一步 进行 授权 。 

3) 采用 数据 加 窗 

数据 安全 隐患 无 处 不 在 。 一 些 机 密 数 据 库 、 商 业 数 据 等 必须 防止 他 人 非法 访问 、 修 改 、 找 贝 。 
为 了 你 证 数据 的 安全 ， 数据 加 密 是 应 用 最 广 、 成 本 最 低廉 而 相对 最 可 徘 的 方法 。 数据 加 密 是 你 护 数 
据 在 存储 和 传递 过 程 中 不 被 盘 取 或 修改 的 有 效 手 段 。 数 据 加 密 系 统 包括 对 系统 的 不 同 部 分 要 选择 何 
种 加 密 算 法 、 需 要 多 高 的 安全 级 别 、 各 算法 之 间 如 何 协作 等 因素 。 在 系统 的 不 同 部 分 要 综合 邯 虑 执 
行 效率 与 安全 性 乙 间 的 平衡 。 一 般 来 讲 ， 安 全 性 总 是 以 牺牲 系统 效率 为 代价 的 。 如 条 要 在 Internet 
上 的 两 个 客户 端 传递 安全 数据 , 则 要 求 客 户 端 之 间 可 以 彼此 判断 对 方 的 身份 ,传递 的 数据 必须 加 密 ， 
当 数 据 在 传输 中 被 更 改 时 可 以 被 友和 觉 。 

4) 完善 的 事务 管理 和 故障 恢复 机 制 

事务 省 理 和 故障 恢复 主要 是 对 付 系 统 内 发 生 的 目 然 因 系 故障 ， 保 证 数据 和 事务 的 一 致 性 和 完 
整 性 。 故 障 恢 复 的 主要 措施 是 进行 日 志 记 录 和 数据 复制 。 在 网 络 数据 库 系 统 中 ， 分布 事务 首先 要 分 
解 为 多 个 子 事务 到 各 个 站 点 上 去 执行 ,各 个 服务 圳 之 间 还 必须 采取 合理 的 算法 进行 分 布 式 并 发 控制 
和 提交 ， 以 你 证 事务 的 完整 性 。 事 务 运行 的 每 一 步 结 朱 都 记录 在 系统 日 筷 文件 中 ,并 且 对 重要 数据 
进行 复制 ， 发 生 故 障 时 根据 日 忘 文件 利用 数据 副本 准确 地 完成 事务 的 恢复 。 

5) 作 好 数据 库 备 份 与 恢复 

计算 机 同 其 他 设备 一 样 ， 都 可 能 发 生 故 障 。 计 算 机 故障 的 原因 多 种 多 样 ， 包 括 人 磁盘 故障 、 电 
源 故 障 、 软 件 故 障 、 灾 害 故 障 以 及 人 为 破坏 等 。 一 旦 发 生 这 种 情况 ,就 可 能 造成 数据 库 的 数据 丢失 。 
因此 数据 库 系 统 必 须 采 取 必 要 的 措施 ， 以 保证 发 生 故 障 时 ， 可 以 恢复 数据 库 。 数 据 库 管 理 系统 的 备 
份 和 恢复 机 制 就 是 保证 在 数据 库 系 统 发 生 故 障 时 , 能 够 将 数据 库 系 统 还 原 到 正常 状态 。 加 强 数 据 备 
份 非常 重要 ,数据 库 拥有 很 多 关键 的 数据 ， 这 些 数 据 一 旦 遭 到 破坏 后 琳 将 人 不堪设想， 而 这 往往 是 入 
侵 者 真正 关心 的 东西 。 不 少 审理 员 在 这 点 上 作 得 并 不 好 ,不 是 备份 不 完全 ， 台 是 备份 不 及 时 。 数 据 
备份 需要 周密 计划 ， 制 定 出 一 个 荣 略 测试 后 再 去 实施 ， 备 份 计 划 也 需要 个 断 地 调整 。 































































































































































































第 2 章 
知己 :企业 信息 安全 技术 概览 ”天 


6) WEE NEERI. HI 

审计 志 踪 机制 古 指 系统 设置 相应 的 日 忘记 录 ， 特 别 是 对 数据 更 独 、 删 除 、 修 改 的 记录 ， 以 便 
日 后 伍 证 。 日 忘记 录 的 内 容 可 以 包括 操作 人 员 的 名 称 、 使 用 的 密码 、 用 户 的 IP 地 址 、 登 录 时 间 、 
操作 内 容 等 。 帮 发现 系统 的 数据 遭 到 破坏， 可 以 根据 日 志 记 录 奶 究 责 任 , 或 者 从 日 志 记 录 中 判断 密 
人 码 是 售 被 盗 ， 以 便 修 改 密码 ， 重 新 分 配 权 限 ， 确 保 系 统 的 安全 。 

7) 重点 做 好 服务 占 防 护 

在 网 络 时 代 ， 我 们 所 谈论 的 企业 数据 库 的 安全 主要 体现 在 Web 数据 库 的 层面 上 。 我 们 知道 ， 
在 Web 数据 库 的 三 层 体系 结构 中 ， 数 据 存 帮 在 数据 库 服务 冀 中 ， 大 部 分 的 事务 处 理 及 商业 风 辑 处 
理 在 应 用 服务 右 中 进行 ， 由 应 用 服务 如 提出 对 数据 库 的 操作 请 求 。 理 论 上 ， 既 可 以 通过 Web 页 面 
调用 业务 处 理 程序 来 访问 数据 库 , 也 可 以 绕 过 业务 处 理 程序 , 使 用 一 些 数据 库 客户 剖 工 具 直 接 登 录 
数据 库 服 务 费 ， 存 取 操 作 其 中 的 数据 。 所 以 ， 数 据 库 服务 冀 的 安全 设置 全 关 香 要 。 用 IDS《〈 入 侵 检 
MRE) 剑 卫 数据 库 安 全 逐步 普及 ,这 种 安全 撤 术 将 传统 的 网 络 和 操作 系统 级 入 侵 检 测 系统 概念 应 
用 于 数据 库 。 应 用 IDS 提供 主动 的 、 针 对 SQL 的 保护 和 监视 ， 可 以 保护 预先 包装 或 自行 开发 的 
Web 应 用 。 

8) 做 好 数据 库 升 级 和 打 补 本 工作 

在 当今 的 信息 时 代 ， 作 为 与 操作 系统 有 看 同等 重要 地 位 的 系统 软件 ， 数 据 库 的 升级 和 打 补 丁 
工作 也 是 一 项 长 期 而 不 容 锌 企业 忽视 的 工作 。 随 看 数据 库 管理 系统 功能 设计 的 日 荔 复 森 和 全 和 面 化 ， 
其 内 在 的 漏洞 也 不 断 地 烘 露 出 来 。 据 完 门 铁 克 今年 的 统计 数据 表明 ， 在 漏洞 攻击 中 ， 记录 到 Oracle 
数据 库 168 "Pill, 其 在 主要 数据 库 中 居然 位 大 第 一 , 充分 反映 了 当前 数据 库 在 安全 方面 所 表现 出 
来 的 注 哎 性 和 受 关 注 程度 。 拉 运 的 是 ,当前 的 各 大 数据 库 三 商都 有 一 文 专门 的 队伍 在 对 数据 库 可 能 
出 现 的 漏洞 和 问题 在 做 升级 和 补丁 工作 , 企业 的 数据 库 管 理 员 则 需要 及 时 地 从 数据 库 广 商 和 网 上 获 
得 最 新 的 数据 库 升 级 和 补丁 程序 , 对 现 有 的 系统 进行 更 新 和 升级 ， 从 而 保证 在 瞬 县 万 变 的 网 络 世 界 
中 ， 企 业 数 据 库 能 够 以 较 好 的 安全 性 能 来 应 对 各 种 攻击 和 挑战 。 





































































































ETE 网 络 层 防护 :防火墙 


2.3.1 ”防火墙 简介 


防火 场 (Fire Wall) 指 的 是 一 个 由 软件 和 便 件 设备 组 合 而 成 、 在 内 部 网 和 外 部 网 之 间 、 专 用 网 
与 公共 网 之 间 的 界面 上 构造 的 保护 屏障 。 它 是 一 种 获取 安全 性 方法 的 形象 说 法 , 是 一 种 计算 机 便 件 
和 软件 的 结合 ， 使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 〈Security Gateway? ， 从 而 保护 内 
部 网 免 受 非法 用 户 的 入 侵 。 

网 络 防 火 墙 借鉴 了 古代 真正 用 于 防火 的 防火 墙 的 喻 义 ， 指 的 是 设置 在 不 同 网 络 ( 如 可 信任 的 
企业 内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 。 它 可 通过 监测 、 限 制 、 更 
改 跨越 防火 墙 的 数据 流 ， 尽 可 能 地 对 外 部 屏蔽 网 络 内 部 的 信息 、 结 构 和 运行 状况 ， 以 此 来 实现 网 络 
的 安全 保护 。 在 网 辑 上 ， 防 火 才 是 一 个 分 离 器 、 限 制 匿 ， 也 是 一 个 分 析 器 ， 有 效 地 监控 了 内 部 网 和 
Internet 之 间 的 任何 活动 ， 保 证 内 部 网 络 的 安全 。 目 前 防火 墙 已 经 开始 被 企业 用 户 普 授 接 受 ， 而 且 
正在 成 为 企业 网 络 中 一 种 主要 的 安全 设备 。 
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典型 的 防火 场 体系 网 络 结构 
( 见 图 2-4) 是 : 防火 二 的 一 器 连接 企 
事业 单位 内 部 的 局 域 网 , 7 
连接 互联 网 。 所 有 的 内 、 外 部 网 络 之 
间 的 通信 和 都 要 经 过 防火 墙 。 只 有 人 符合 
安全 沫 略 的 数据 流 才能 通过 防火 场 ， 
这 是 防火 墙 的 工作 原理 特性 ,防火 墙 
之 所 以 能 保护 企业 内 部 网 络 , 就 是 依 
据 这 样 的 工作 原理 或 者 说 是 防护 机 
制 进 行 的 。 它 可 以 由 管理 员 目 由 设置 
企业 内 部 网 络 的 安全 沫 略 , 使 允许 的 
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通信 不 受 影响 , 而 不 允许 的 通信 全 部 aae I 
被 拒绝 于 内 部 网 络 之 外 。 

防火 墙 对 流 经 它 的 网 络 通信 进行 扫描 ， 这 样 能 够 过 滤 掉 一 些 攻击 ， 以 免 其 在 目标 计算 机 上 被 
执行 。 防 火 墙 还 可 以 关闭 不 使 用 的 端口 。 而 且 它 还 能 禁止 特定 端口 的 流出 通信 ， 封 锁 特洛伊 木马 。 
最 后 ， 它 可 以 禁止 来 自 特殊 站 点 的 访问 ， 从 而 防止 来 自 不 明 入 侵 者 的 所 有 通信 。 








防火 墙 是 网 络 安 全 的 屏障 。 一 个 防火 墙 《 作 为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 
部 网 络 的 安全 性 ， 并 通过 过 小 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 
用 协议 才能 通过 防火 场 ， 所 以 网 络 环境 变 得 更 安全 。 如 防火 增 可 以 苯 止 诸如 众所周知 
的 不 安全 的 NFS (Network File System， 网 络 文件 系统 ) 协议 进出 受 保护 网 络 ， 这 样 外 
部 的 攻击 者 束 不 可 能 利用 这 些 脆 弱 的 协议 来 攻击 内 部 网 络 。 同 时 防火 场 可 以 保护 网 络 
人 免 受 基于 路 由 的 攻击 ， 如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定 癌 中 的 重 定 同 路 径 。 防 
火 墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

防火 寺 可 以 强化 网 络 安 全 策略 。 通 过 以 防火 墙 为 中 心 的 安全 方 宁 配置 ， 能 将 所 有 安全 软 
件 ( 如 口令 、 加 密 、 身 份 认 证 、 审 计 等 ) 配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 
个 主机 上 相 比 ， 防 火 墙 的 集中 安全 管理 更 经 济 。 例 如 ， 在 网 络 访问 时 ， 一 次 一 密 口令 系 
统 和 其 他 的 喘 份 认证 系统 完全 可 以 不 必 分 散在 各 个 主机 上 ， 而 集中 于 防火 墙 一 映 。 

对 网 络 存 取 和 访问 进行 监控 审计 。 如 果 所 有 的 访问 都 经 过 防火 增 ， 那么 ， 防 火 墙 束 能 
记录 下 这 些 访问 并 进行 日 志 记 录 ， 同 时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 
疑 动作 时 ， 防 火场 能 进行 适当 的 报警 ， 并 提供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 
另外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 。 首 先 的 理由 是 可 以 清楚 防火 
墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 且 清 楚 防 火 墙 的 控制 是 否 充足 。 而 网 络 使 用 
统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 

防止 内 部 信息 的 外 泄 。 通 过 利用 防火 场 对 内 部 网 络 的 划分 ， 可 实现 内 部 网 重点 网 段 的 
隔离 ， 从 而 限制 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ， 隐 私 是 
内 部 网 络 非 利 关心 的 问题 ， 一 个 内 部 网 络 中 不 引 人 注 意 的 细 布 可 能 包含 了 有 天安 全 的 
线索 而 引起 外 部 攻击 者 的 兴趣 ， 甚 至 因此 而 暴 露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防 
火 墙 束 可 以 隐蔽 那些 透露 内 部 细节 如 Finger. DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 
户 的 注册 名 、 真 名 、 最 后 登录 时 间 和 使 用 shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容 
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易 补 攻击 者 所 获悉 。 攻 击 者 可 以 知道 一 个 系统 使 用 的 频 楷 程度 ， 这 个 系统 是 否 有 用 户 
正在 连 线 上 网 ， 这 个 系统 是 否 在 被 攻击 时 引起 注意 等 。 防 火 墙 同样 可 以 阻 窒 有 关内 部 
网 络 中 的 DNS 信息 ， 这 样 一 台 主 机 的 域名 和 IP 地 址 残 不 会 修 外 界 所 了 解 。 
除了 安全 作用 ， 防 火场 还 文 持 具 有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 VPN. (虚拟 专 
用 网 ) 。 
目前 网 络 安 全 的 三 大 主要 问题 是 : 以 拒绝 访问 (DoS ) 为 主要 目标 的 网 络 攻 击 、 以 蠕虫 (Worm) 
为 主要 代表 的 病毒 传播 和 以 垃圾 电子 邮件 (SPAM) 为 代表 的 内 容 控制 。 这 三 大 安全 问题 履 盖 了 网 
络 安全 方面 的 绝 大 部 分 问题 。 而 这 三 大 问题 , 传统 的 防火 墙 古 无 能 为 力 的 。 新 一 代 防 火 墙 应 该 可 加 
强 放行 数据 的 安全 性 ， 即 既 有 人 包 过 派 的 功能 ， 又 能 在 应 用 层 进 行 代理 。 


2.3.2 ”防火 墙 的 分 类 


防火 才 发 展 到 今天 ， 分 关 的 方式 林林总总 ， 下 面 详细 介绍 几 种 第 用 的 分 其 方式 。 
1. 按 防火 墙 的 软 、 硬 件 形式 分 


按 防 火 载 的 软 、 便 件 形式 来 分 ， 可 以 分 为 软件 防火 墙 和 便 件 防火 墙 。 最 初 的 防火 墙 与 我 们 平 
时 所 看 到 的 集线器 、 交 换 机 一 样 ， 都 属于 硬件 产品 。 其 在 外 观 上 与 平常 所 见 到 的 集线器 和 交换 机 类 
似 ， 只 是 接口 比较 少 ， 分 别 用 于 连接 内 、 外 部 网 络 ， 这 是 由 防火 场 的 基本 作用 决定 的 。 

随 看 防火 载 应 用 的 逐步 普及 和 计算 机 软件 技术 的 发 展 ， 为 了 满足 不 同 层 次 用 户 对 防火 墙 技术 
的 需求 ， 许 多 网 络 安全 软件 厂商 开发 出 基于 纯 软 件 的 防火 墙 , 俗称 “个 人 防火 填 ”。 之 所 以 说 它 是 
“个 人 了 防火墙”， 那 是 因为 其 安装 在 主机 中 ， 只 对 一 台 主 机 进行 防护 ， 而 不 是 针对 整个 网 络 。 

2. 按 防 火 墙 技术 分 

按照 防火 墙 的 技术 划分 ， 又 可 以 分 为 以 下 两 类 。 

= ” 包 过 小 (Packet filtering) 型。 包 过 小 型 防火 墙 工 作 在 OSI 网 络 参 考 模型 的 网 络 层 和 传 

输 屋 ， 其 根据 数据 包头 源 地 址 、 目 的 地 址 、 妆 口 号 和 协议 类 型 等 标志 确定 是 耕 允 许 通 
过 。 只 有 满足 过 滤 条 件 的 数据 包 才 被 转发 到 相应 的 目的 地 ， 其 余 的 数据 包 则 被 从 数据 
Vit XS. 

a ”应 用 代理 (Application Proxy) 78, MHARE Y kK LEE OSI 的 最 高 层 ， 即 应 用 层 。 

其 特点 是 完全 “阻隔 ”了 网 络 通信 流 ， 通 过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ， 以 
实现 监视 和 控制 应 用 层 通 信 流 的 作用 。 

3. 按 防 火 墙 结构 分 


按照 防火 墙 的 结构 ， 可 以 将 其 划分 为 以 下 儿 类 。 

= 单一 主机 防火 场 。 该 防火 场 是 最 传统 的 防火 场 ， 其 独立 于 其 他 网 络 设备 ， 位 于 网 络 边 
界 。 这 种 防火 墙 其 实 与 一 侣 计算 机 的 结构 兰 不 多 ， 同 样 包括 CPU、 内存、 使 盘 等 基本 
组 件 。 它 与 一 般 计 算 机 最 主要 的 区 别 是 ， 一 般 防 火场 都 集成 了 两 个 以 上 的 以 太 网 卡 ， 
因为 其 需要 连接 一 个 以 上 的 内 、 外 部 网 络 。 其 中 的 硬盘 惑 是 用 来 存储 防火 寺 所 用 的 基 
本 程序 ， 如 包 过 小 程序 和 代理 服务 器 程序 等 ， 有 的 防火 增 还 把 日 记 记 录 也 记录 在 此 僻 
AE. 
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.— 路 由 器 集成 式 防火 墙 。 随 着 防火 墙 技术 的 发 展 及 应 用 需求 的 提高 ， 原 来 作为 单一 主机 
的 防火 墙 现 在 已 发 生 了 许多 变化 。 最 明显 的 变化 就 是 现在 许多 中 、 高 档 的 路 由 器 中 已 
集成 了 防火 墙 功能 ， 有 的 防火 墙 已 不 再 是 一 个 独立 的 硬件 实体 ， 而 是 由 多 个 软 、 硬 件 
组 成 的 系统 ， 这 种 防火 墙 ， 俗 称 “路 由 器 集成 式 防火 墙 ”。 

。 分布 式 防火 墙 。 分 布 式 防火 墙 不 再 是 位 于 网 络 边界 ， 而 是 渗透 于 网 络 的 每 一 台 主机 ， 
对 整个 内 部 网 络 的 主机 实施 保护 。 在 网 络 服务 器 中 ， 通 常会 安装 一 个 用 于 防火 墙 的 系 
统管 理 软件 ， 在 服务 器 及 各 主机 上 安装 有 集成 网 卡 功能 的 PCI Duck. ION BU 
火 墙 卡 就 同时 兼 有 网 卡 和 防火 墙 的 双重 功能 ， 即 可 彻底 保护 内 部 网 络 。 各 主机 把 任何 
其 他 主机 发 送 的 通信 连接 都 视 为 “不 可 信 ” 的 ， 都 须要 严格 过 滤 。 而 不 是 像 传统 边界 
防火 墙 那样 ， 仅 对 外 部 网 络 发 出 的 通信 请 求 “不 信任 ”。 

4. 按 防火 墙 的 应 用 部 署 位 置 分 

按照 防火 墙 在 具体 应 用 中 部 署 的 位 置 ， 可 以 划分 为 以 下 几 类 。 

。 ”边界 防火 墙 。 该 类 防火 墙 是 最 传统 的 防火 墙 ， 其 位 于 内 、 外 部 网 络 的 边界 ， 它 的 作用 
是 对 内 、 外 部 网 络 实施 隔离 ， 保 护 边界 内 部 网 络 。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ， 
价格 较 贵 ， 性 能 较 好 。 

。 ”个 人 防火 墙 。 该 类 防火 墙 安装 于 单 台 主机 中 ， 也 只 是 防护 单 台 主机 。 这 类 防火 墙 应 用 
于 广大 的 个 人 用 户 ， 通 常 为 软件 防火 墙 ， 价 格 便宜 ， 性 能 较 差 。 

. 混合 式 防火 墙 。 该 类 防火 墙 可 以 说 就 是 “分 布 式 防火 墙 ” 或 者 “嵌入 式 防火 墙 ” ， 是 
一 整套 防火 墙 系统 ， 由 着 干 个 软 、 硬 件 组 件 组 成 ， 分 布 于 内 、 外 部 网 络 边界 和 内 部 各 
主机 之 间 。 它 既 对 内 、 外 部 网 络 之 间 的 通信 进行 过 滤 ， 又 对 网 络 内 部 各 主机 间 的 通信 
进行 过 滤 ， 属 于 最 新 的 防火 墙 技术 之 一 ， 性 能 最 好 ， 价 格 也 最 贵 。 

5， 按 防火 墙 性 能 分 

如 果 按 防火 墙 的 性 能 来 分 ， 可 以 分 为 百 光 级 防火 墙 和 千 光 级 防火 墙 两 类 。 因 为 防火 墙 通 常 位 

于 网 络 边界 ， 所 以 不 可 能 只 是 十 兆 级 的 ， 这 主要 是 指 防火 墙 的 通道 带宽 ， 或 者 说 是 吞吐 率 。 当 然 通 
道 带宽 越 宽 ， 性 能 越 高 ， 这样 的 防火 墙 因 包 过 滤 或 应 用 代理 所 产生 的 延 时 也 就 越 小 , 对 整个 网 络 通 
信 性 能 的 影响 也 就 越 小 。 


2.3.8 ”传统 防火 墙 技术 


传统 的 防火 墙 基数 种 类 繁多 ， 各 有 各 的 特点 ， 因 而 在 应 用 中 也 应 区 别 对 每 ， 充 分 及 挥 其 优势 。 
下 面 分 别 介绍 各 种 传统 防火 场 的 技术 及 其 特点 。 


1. 数据 包 过 滤 防 火场 技术 


数据 包 过 滤 (Packet Filtering) 技术 是 在 网 络 层 对 数据 包 进 行 选择 ， 选 择 的 依据 是 系统 内 设置 
的 过 小 逻辑 ， 被 称 为 访问 控制 表 (Access Control Table) 。 通 过 检 碍 数据 流 中 每 个 数据 包 的 源 地 址 、 
目的 地 址 、 所 用 的 端口 号 、 协 议 状 态 等 因素 ， 或 它们 的 组 合 来 确定 是 否 允 许 该 数据 包 通 过 。 数 据 包 
过 滤 防 火 墙 的 逻辑 简单、 价格 便宜 、 吻 于 安装 和 使 用 、 网 络 性 能 和 透明 性 好 ， 其 通常 安装 在 路 由 器 
上 上 。 足 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ， 因 此 在 原 有 网 络 上 增加 这 样 的 防火 墙 几 乎 
不 需要 任何 籁 外 的 恤 用 。 
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包 过 滤 的 优点 是 一 个 过 涯 路 由 需 能 协助 你 护 整 个 网 络 ， 数 据 包 过 滤 对 用 户 透 明 ， 过 滤 路 由 霹 
速度 快 、 效 率 高 ; 缺点 是 不 能 彻底 防止 地 址 欺骗 ， 一些 应 用 协议 不 适合 于 数据 包 过 小， 正常 的 数据 
包 过 小 路 由 右 无 法 执行 条 些 安 全 人 上 略 。 

2. 应 用 层 网 关 防 火 墙 技 术 


NU EPI (Application Level Gateways? 是 在 网 络 应 用 层 上 建立 协议 过 小 和 转发 功能 。 其 针 
对 特定 的 网 络 应 用 服务 协议 使 用 指定 的 数据 过 小 逻辑 , 并 在 过 小 的 同时 , 对 数据 包 进 行 必要 的 分 析 、 
登记 和 统计 ， 形 成 报告 。 实 际 中 的 应 用 网 关 通 常安 装 在 专用 工作 站 系统 上 。 

数据 包 过 泪 和 应 用 网 关 防 火场 有 一 个 共同 的 特点 ， 束 是 仪 仅 依靠 特定 的 逻辑 判定 是 人 否 人 允许 数 
据 包 通过 , 一 旦 满足 逻辑 ， 则 防火 增 内 外 的 计算 机 系统 建立 下 接 联系 ,防火 墙 外 部 的 用 户 便 有 可 能 
直接 了 解 防 火 载 内 部 的 网 络 结构 和 运行 状态 ， 这 有 利于 实施 非法 访问 和 攻击 。 

3. 代理 防火 十 技术 


代理 服务 (Proxy Service ) 也 称 链 路 级 网 关 或 TCP 通道 CCircuit Level Gateways or TCP Tunnels), 
也 有 人 将 其 归于 应 用 层 网 关 一 类 , 是 一 种 针对 数据 包 过 滤 和 应 用 网 关 技 术 存 在 的 缺点 而 引入 的 防火 
播 技术 。 其 特点 是 将 所 有 路 越 防火 才 的 网 络 通信 和 链 路 分 为 两 段 。 防 火场 内 外 计算 机 系统 间 应 用 层 的 
“连接 ”， 由 两 个 终止 代理 服务 器 上 的 “连接 ”来 实现 ， 外 部 计算 机 的 网 络 链 路 只 能 到 达 代 理 服 务 
器 ， 从 而 起 到 了 隔离 防火 场 内 外 计算 机 系统 的 作用 。 此 外 ， 代 理 服 务 也 对 过 往 的 数据 包 进 行 分 析 、 
注册 登记 ， 形 成 报告 ， 同 时 当 发 现 被 攻击 迹象 时 会 问 网 络 管理 员 发 出 警报 ， 并 保留 攻击 痕迹 。 


2.3.4 ”新 一 代 防 火 墙 的 技术 特点 


新 一 代 防 火 墙 的 目的 主要 是 综合 包 过 滤 和 代理 技术 ， 殉 服 二 者 在 安全 方面 的 缺陷 ， 能 从 数据 
链 路 层 一 直到 应 用 层 施 加 全 方位 的 控制 ; 实现 TCP/P 协议 的 微 内 核 , 从 而 在 TCP/IP 协议 层 进行 各 
项 安全 控制 ; 基于 上 述 微 内 核 ， 使 速度 超过 传统 的 包 过 小 防火 场 ; 提供 透明 代理 模式 ， 减 轻 客 户 端 
的 配置 工作 ;支持 数据 加 密 、 解 密 (DES HRSA) ， 提 供 对 虚拟 网 VPN 的 强大 支持 ;内 部 信息 完 
全 隐藏 ， 产 生 一 个 新 的 防火 墙 理论 。 

狐 一 代 防 火 墙 技 术 不 仅 履 盖 了 传统 包 过 小 防火 墙 的 全 部 功能 , 而 且 在 全 面 对 抗 IP HX. SYN 
Flood, ICMP, ARP 等 攻击 手段 方面 有 显 阁 优势 ， 增 强 了 代理 服务 ， 并 使 其 与 包 过 滤 相 融合 ， 上 再 
加 上 智能 过 小 拉 术 ,使 防火 墙 的 安全 性 提升 到 又 一 局 上 度 。 下 面 将 分 别 介绍 几 种 常见 的 独 一 代 防火 
增 技术 。 

1. 新 一 代 分 布 式 防 火 墙 技 术 


针对 传统 边界 防火 墙 的 缺陷 ， 专 家 提出 了 分 布 式 防火 增 的 构 翁 。 从 狭义 和 与 边界 防火 增产 品 
对 应 来 讲 , 分 布 式 防火 墙 产 品 是 指 那些 驻 留 在 网 络 中 主机 如 服务 器 或 桌面 客户 机 并 对 主机 系统 自 
吴 提 供 安 全 防护 的 软件 产品 ;， 从 广义 来 讲 ， 分 布 式 防火 墙 是 一 种 新 的 防火 增 体 系 结构 ， 其 包含 如 
FJURE dh. 

a 网络 防 火场 。 用 于 内 部 网 与 外 部 网 之 间 《〈 即 传统 的 边界 防火 场 )》 和 内 部 网 子 网 之 间 的 

防护 产品 ， 后 者 区 别 于 前 者 的 一 个 特征 是 须 文 持 内 部 网 可 能 有 的 IP 和 非 IP 协议。 

a 主机 防火 场 。 对 于 网 络 中 的 服务 融和 时 面 机 进行 防护 ， 这 些 主机 的 物理 位 置 可 能 在 内 

部 网 中 ， 也 可 能 在 内 部 网 外 ， 如 托管 服务 堪 或 移动 办 公 的 便携 机 。 
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a 中 心 党 理 。 边 界 防 火 增 上 只 是 网 络 中 的 单一 设备 ， 管 理 是 局 部 的 。 对 分 布 式 防火 声 来 说 ， 
每 个 防火 声 作为 安全 监测 机 制 可 以 根据 安全 性 的 不 同 要 求 布 症 在 网 络 中 任何 需要 的 位 
置 上 ， 但 总 体 安全 策略 又 是 统一 策划 和 管理 的 ， 安 全 策略 的 分 发 及 日 志 的 汇总 都 是 中 
心 管理 应 具备 的 功能 。 中 心 管 理 是 分 布 式 防火 场 系统 的 核心 和 重要 特征 之 一 。 
分 布 式 防火 墙 殉 服 了 传统 防火 墙 的 缺陷 ， 其 优势 在 于 : 在 网 络 内 部 增加 了 为 一 层 安 全 ， 有 效 
地 抵御 来 目 内 部 的 攻击 ， 消 除 网 络 边界 上 的 通信 瓶 贷 和 单一 故障 点 ， 文 持 基 于 加 密 和 认证 的 网 络 
应 用 ;与 拓扑 无 关 ， 文 持 移 动 计算 。 
分 布 式 防火 墙 主要 应 用 在 企业 的 网 络 和 服务 占 主 机 , 在 于 堵 住 内 部 网 的 漏 调 ,解决 来 目 企 业 
内 部 网 的 攻击 。 分 布 式 防火 墙 实施 在 企业 各 个 网 络 疹 点 上 ， 殉 服 了 传统 防火 才 的 缺陷 ， 有 效 保护 
了 主机 ， 适 应 了 狐 的 网 络 应 用 的 需要 。 


2. 新 一 代 岩 入 式 防火 墙 技术 


TAN XT Cit bes V RC T- t EH is e SC OLI] AK s CANALI K s ARES ER EH n DJ TEE RO 
We HC RIEMSE B KERR, KRT OA ER Eae SOC LIP s HON XE KEA EELOE ex 
防火 墙 。 EH HL PA fS HI RE UPCAP APEE. BL EAS EIER IU ERR A HE TS EKA J6RS ISI T 
DUDE. RAAD 68S LIE T- IP E. BDUAJGUATeU M28 AZIE Wl MRR ARET 
LIN FILES ISSUE CASU io KAAKE ELMAS, "EUCE T FIRES ASPIRE 
以 前 的 连接 状态 。 

供 入 陈 防 火 墙 弥补 并 改善 各 类 安全 能 力 不 足 的 企业 边缘 防火 墙 、 防 病毒 程序 、 基 于 主机 的 应 
用 程序 、 入 侵 检 测报 管 程序 以 及 网 络 代 理 程序 而 设计 ,人 确保 企业 内 部 与 外 部 的 网 络 上 共有 以 下 功能 : 
不 论 企 业 局 域 网 的 拓扑 结构 如 何 变更 ， 防 护 措 施 都 能 延伸 到 网 络 边 缘 ， 为 网 络 提供 保护 ， 基 于 便 
件 、 能 够 防范 入 侵 的 安全 特性 能 独立 于 主机 操作 系统 与 其 他 安全 性 程序 运行 ,其 至 在 安全 性 较 关 
的 蜗 市 链 路 上 也 能 实现 安全 移动 与 远程 接 入 , 可 管理 的 执行 方式 使 企业 安全 性 能 够 被 用 户 生 略 而 
非 物理 设施 来 进行 定义 。 

一 套 租 入 式 防火 墙 安 全 性 解决 方案 能 够 为 那些 想 在 家 里 访问 公司 局 域 网 的 远程 办 公用 户 提 
供 保 护 。 帮 助 企业 确保 网 络 最 薄弱 和 未 保护 领域 的 安全 ， 如 笔记 本 电脑 和 远程 PC 机 ， 实 行 集中 
式 管 理 的 艇 入 式 客 户 机 方案 ， 并 实现 了 跨越 企业 边缘 防火 墙 的 可 菲 网 络 连接 ,为 企业 和 政府 站 点 
提供 天 衣 无 颖 的 安全 性 。 

3. 新 一 代 智 能 防火 墙 技术 


智能 防火 墙 从 技术 特征 上 ， 是 利用 统计 、 记 忆 、 概 京 和 决策 的 智能 方法 来 对 数据 进行 识别 ， 
并 达到 访问 控制 的 目的 。 新 的 数学 方法 ， 消 除了 匹配 检查 所 需要 的 海量 计算 ， 蜗 效 发 现 网 络 行为 
的 特征 值 ， 直 接 进 行 访问 控制 。 由 于 这 些 方法 多 是 人 工 知 能 学 科 采 用 的 方法 ， 因 此 被 称 为 智能 防 
火场 。 其 关键 技术 主要 如 下 。 
a 防 攻 击 技 术 。 智 能 防火 场 能 智能 识别 恶意 数据 流量 ， 并 有 效 地 阻 断 恶意 数据 攻击 。 智 
能 防火 墙 可 以 有 效 地 解决 SYN Flooding, Land Attack, UDP Flooding, Fraggle Attack. 
Ping Flooding, Smurf, Ping of Death, Unreachable Host 等 攻击 。 防 攻击 技术 还 可 以 有 
效 地 切断 恶意 病毒 或 木马 的 流量 攻击 。 
a 了 仿 扫 措 技 术 。 智 能 防火 才能 智能 识别 黑客 的 恶意 扫描 ， 并 有 效 地 阻 断 或 其 统 恶意 扫 搞 
者 。 对 目前 已 知 的 如 SS、SSS、NMAP 等 扫描 工具 ， 智 能 防火 墙 可 以 防止 被 扫描 。 防 
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扫描 技术 还 可 以 有 效 地 解决 恶意 代码 的 恶意 扫描 攻击 。 

a ” 防 欺 骗 技术 。 智 能 防火 墙 提 供 基于 MAC 的 访问 控制 机 制 ， 可 以 防止 MAC 欺骗 和 IP 
Wim seff MAC 过 滤 和 IP 过滤。 将 防火 场 的 访问 控制 扩展 到 OSI 的 第 二 层 。 

a 入侵 防 御 技 术 。 智 能 防火 墙 为 了 解决 准许 放行 包 的 安全 性 ， 对 准许 放行 的 数据 进行 入 
侵 检 测 ， 并 提供 入 侵 防御 保护 。 入 侵 防 御 技术 采用 了 多 种 检测 技术 ， 特 征 检测 可 以 准 
确 检测 已 知 的 攻击 ， 特 征 库 涵盖 了 目前 流行 的 网 络 攻 击 ; 异常 检测 基于 对 监控 网 络 的 
自学 习 能 力 ， 可 以 有 效 地 检测 新 出 现 的 攻击 ;检测 引擎 中 还 集成 了 针对 组 锌 区 溢出 等 
特定 攻击 的 检测 。 智 能 防火 墙 完成 了 深层 数据 包 监 控 ， 并 能 阻 断 应 用 层 攻 击 。 

a ” 包 擦 洗 和 协议 正常 化 技术 。 智 能 防火 十 文 持 包 擦洗 技术 ， 对 IP, TCP, UDP, ICMP 等 
协议 的 擦洗 , 实现 协议 的 正常 化 , 消除 潜在 的 协议 风险 和 攻击 。 这些 方 法 对 消除 TCP/IP 
协议 的 缺陷 和 应 用 协议 的 漏洞 所 带 来 的 威胁 ， 效 果 显 车 。 

a 入侵 防护 。 智 能 防火 墙 为 了 解决 准许 放行 包 的 安全 性 ， 对 准许 放行 的 数据 进行 入 侵 检 
测 ， 并 提供 入 侵 防 御 保 护 ， 这 样 就 完成 了 深层 数据 包 监 控 ， 并 能 阻 断 应 用 层 攻击 。 

总 之 ,与 传统 防火 墙 相 比 ， 智 能 防火 墙 在 保护 网 络 和 站 点 免 受 黑客 的 攻击 、 阻 断 病毒 的 恶意 

传播 、 有 效 监控 和 管理 内 部 局 域 网 、 保 护 必 需 的 应 用 安全 、 提 供 强 大 的 身份 认证 授权 和 审计 管理 
等 方面 ， 都 有 广泛 的 应 用 价值 。 


2.3.5 ”防火 墙 技术 的 发 展 趋势 


随 寿 新 的 网 络 攻击 的 出 现 ， 防 火 寺 技术 也 有 一 些 新 的 发 展 趋势 ， 这 主要 可 以 从 包 过 滤 撤 术 、 
防火 墙 体 系 结构 和 防火 增 系 统 官 理 三 方面 来 体现 。 
1. 防火 墙 包 过 小 技术 


a ”用 户 喘 份 验 证 防火 墙 。 一 些 防火 墙 广 商 把 在 AAA (Authentication, Authorization, 
Accounting， 认 证 、 授 权 、 记 账 ) 系统 上 运用 的 用 户 认证 及 其 服务 扩展 到 防火 墙 中 ， 使 
其 拥有 可 以 文 持 基于 用 户 攻 色 的 安全 策略 功能 。 访 功能 在 无 线 网 络 应 用 中 非常 必要 。 
其 有 用 户 身 份 验证 的 防火 墙 通常 是 采用 应 用 级 网 关 技 术 的 ， 包 过 滤 技 术 的 防火 载 不 具 
有 。 用 户 喘 份 验证 功能 越 强 ， 它 的 安全 级 别 越 蜗 ， 但 它 给 网 络 通信 和 带 来 的 负面 影响 也 
越 大 ， 因 为 用 户 身 份 验证 需要 时 间 ， 特 别 是 加 密 型 的 用 户 号 份 验证 。 

m ”多 级 过 滤 搁 术 。 所 谓 多 级 过 滤 技 术 ， 是 指 防 火 墙 采 用 多 级 过 小 措施 ， 并 辅 以 鉴别 手段 。 
在 分 组 过 小 (网 络 层 ) 一 级 ， 过 滤 挥 所 有 的 源 路 由 分 组 和 假冒 的 IP. 源 地 址 ;， 在 传输 层 
一 级 ， 遵 循 过 滤 规 则 ， 过 滤 挥 所 有 禁止 出 或 /和 入 的 协议 和 有 害 数 据 包 如 nuke E. 2€ iit 
树 包 等 ; 在 应 用 网 天 (应 用 层 ) 一 级 , 能 利用 FTP. SMTP 等 各 种 网 天 ,控制 和 监测 Internet 
提供 的 所 有 通信 服务 。 这 是 针对 以 上 各 种 已 有 防火 增 搁 术 的 不 中 而 产生 的 一 种 综合 型 
过 小 技术 ， 可 以 弥补 以 上 各 种 单独 过 滤 技 术 的 不 吓 。 这 种 过 滤 技 术 在 分 层 上 非常 清楚 ， 
每 种 过 滤 技 术 对 应 于 不 同 的 网 络 层 ， 从 这 个 概念 出 发 ， 又 有 很 多 内 容 可 以 扩展 ， 为 将 
来 的 防火 墙 搁 术 友 展 打下 基础 。 

" 病毒 防火 场 。 使 防火 场 具 有 病毒 防护 功能 。 现 在 通 第 被 称 之 为 病毒 防火 场 ， 当 然 目前 
主要 还 是 在 个 人 防火 墙 中 体现 ， 因 其 为 纯 软 件 形式 ， 更 容易 实现 。 这 种 防火 载 技 术 可 
以 有 效 地 防止 病毒 在 网 络 中 的 传播 ， 比 等 竺 攻击 的 发 生 更 加 积极 。 拥 有 病毒 防护 功能 
的 防火 墙 可 以 大 大 减少 企业 的 损失 。 
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2. 防火 墙 的 体系 结构 


随 看 网 络 应 用 的 增加 ,对 网 络 市 客 提 出 了 更 遍 的 要 求 。 这 意味 看 防火 墙 要 能 够 以 非常 高 的 速 
紊 处理 数据 。 男 外 ， 在 以 后 儿 年 里 ， 多 媒体 应 用 将 会 越 来 越 普 裔 ， 要 求 数据 容 过 防火 墙 所 融 来 的 
延迟 要 四 够 小 。 为 了 清 足 这 种 需要 ， 一 些 防 火 墙 制造 障 开 友 了 基于 ASIC (Application Specific 
Integrated Circuit, 特殊 应 用 集成 电路 ) 的 防火 场 和 基于 网 络 处 理 器 的 防火 场 。 从 执行 速度 的 角度 
看 来 , 基于 网 络 处 理 器 的 防火 场 也 是 基于 软件 的 解决 方案 , 需要 在 很 大 程度 上 依赖 于 软件 的 性 能 ; 
但 是 由 于 这 关 防 火场 中 有 一 些 专 门 用 于 处 理 数 据 层 面 任务 的 引擎 ， 从 而 减轻 了 CPU 的 负担 ， 访 
类 防火 墙 的 性 能 要 比 传统 防火 墙 的 性 能 好 许多 。 

与 基于 ASIC 的 纯 便 件 防 火 墙 相 比 ， 基 于 网 络 处 理 占 的 防火 墙 具 有 软件 色彩 ， 因 而 更 加 其 有 
灵活 性 。 基 于 ASIC 的 防火 增 使 用 专门 的 便 件 处 理 网 络 数据 济 ， 比 起 前 两 种 类 型 的 防火 墙 上 共有 更 
好 的 性 能 。 但 是 纯 便 件 的 ASIC 防火 场 缺 乏 可 编程 性 ， 这 束 使 得 其 缺乏 灵活 性 ， 从 而 跟 不 上 防火 
增 功 能 的 快速 发 展 。 理 想 的 解决 方案 是 增加 ASIC 心 族 的 可 编程 性 ， 使 其 与 软件 更 好 地 配合 。 这 
样 的 防火 寺 怠 可 以 同时 满足 来 目 灵 活性 和 运行 性 能 的 要 求 。 

3. 防火 墙 的 系统 管理 


总 体 来 说 ， 防 火 墙 的 系统 管理 有 以 下 几 种 发 展 趋势 。 

s。 集中 式 管 理 。 集 中 式 管理 可 以 降低 管理 成 本 ， 并 保证 在 大 型 网 络 中 安全 胰 略 的 一 致 性 。 
快速 啊 应 和 快速 防御 也 要 求 采 用 集中 式 管 理 系统 。 

a ”强大 的 审计 功能 和 目 动 日 记分 析 功 能 。 这 两 点 的 应 用 可 以 更 早 地 发 现 潜在 的 威胁 并 预 
防 攻击 的 发 生 。 日 记功 能 还 可 让 管理 员 有 效 地 发 现 系统 中 存 的 安全 漏洞 ， 及 时 地 调整 
安全 素 略 等 。 不 过 具有 这 种 功能 的 防火 墙 通 常 是 比较 局 级 的 ， 早 期 的 衣 态 包 过 派 防火 
首 是 个 具有 的 。 

a 网络 安 全 产品 的 系统 化 。 随 独 网 络 安全 技术 的 发 展 ， 现 在 有 一 种 体系 结构 的 提 法 ， 吊 
做 “建立 以 防火 于 为 核心 的 网 络 安全 体系 ”。 因 为 实践 表明 ， 仅 使 用 现 有 的 防火 场 拉 
术 难 以 满足 当前 网 络 的 安全 需求 。 通 过 建立 一 个 以 防火 墙 为 核心 的 安全 体系 ， 就 可 以 
为 内 部 网 络 系统 部 获 多 道 安全 防线 ， 各 种 安全 技术 各 司 其 职 ， 从 各 方面 防御 外 来 入 侵 。 


2.3.6 ”防火 墙 的 配置 方式 


防火 墙 的 配置 有 三 种 : Dual-homed 方式 、Screened- host 方式 和 Screened-subnet 方式 。 

=  Dual-homed 方式 最 简单 。Dual-homed Gateway 放置 在 两 个 网 络 之 间 ， 这 个 Dual-homed 
Gateway 又 称 为 bastion host。 这 种 结构 成 本 低 ， 但 是 它 有 单 点 失败 的 问题 。 这 种 结构 没 
有 增加 网 络 安全 的 目 我 防卫 能 力 ， 而 它 往往 是 受 黑 客 攻击 的 首选 目标 ， 它 目 己 一 旦 裤 
攻破 ， 整 个 网 络 也 残 骏 露 了 。 

= Screened-host 方式 中 的 Screening router 为 保护 Bastion host 的 安全 建立 了 一 道 屏 障 。 它 
将 所 有 进入 的 信息 先 送 往 Bastion host， 并 且 只 接收 来 目 Bastion host 的 数据 作为 出 去 的 
数据 。 这 种 结构 依赖 Screening router 和 Bastion host， 只 要 有 一 个 失败 ， 整 个 网 络 就 暴 
BRI. 

mn  Screened-subnet 包含 两 个 Screening router 和 两 个 Bastion host。 在 公共 网 络 和 私有 网 络 
之 加 构成 了 一 个 隔离 网 , 称 乙 为 “停火 区 ”(DMZ, EN Demilitarized Zone? ，Bastion host 
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放 症 在 “ 俘 火 区 ”内 。 这 种 结构 安全 性 好 ， 只 有 当 两 个 安全 单元 被 破坏 后 ， 网 络 才 科 
骏 露 ， 但 是 成 本 也 很 昂 贯 。 


2.3.7 ”防火 墙 的 实际 安全 部 署 建 议 


防火 墙 在 实际 的 部 敬 应 用 过 程 当中 , 经 党 部 署 在 网 关 的 位 置 , ML eZ T BERE Pd PRU P Ph 
的 一 个 “中 间 分 隔 点 ”上 ， 而 瓯 是 在 这 样 一 个 部 普 的 环境 中 ， 仍 存在 着 多 种 方式 ， 且 存在 着 许多 
“陷阱 ”， 下 面 在 该 解决 方案 中 明确 给 出 了 分 析 。 

1. 错误 的 防火 墙 部 署 方式 

传统 的 防火 场 部 署 方式 可 能 所 有 人 都 认为 非常 简单 , 将 防火 场 部 署 于 外 部 网 络 和 内 部 网 络 之 
间 。 这 个 思路 如 果 在 内 部 网 络 中 存 
在 共享 资源 (比如 说 FTP 服务 器 和 
Web 服务 器 ) 的 话 ， 那 么 这 将 是 一 
^ dE fe HUI X Auk] 2-5 
所 示 。 理 由 其 实 非常 简单 ， 一 旦 这 / 
些 共享 服务 器 被 黑客 攻击 和 安装 木 y 
马 渗透 病毒 的 话 ， 那 么 内 部 网 络 的 "m 
ZJ rig Je HUE SURE A E E 内 部 网 络 
言 。 因 为 在 这 种 情况 下 ， 木 马 和 病 
毒 已 经 在 内 网 中 存在 ， 而 客户 端 和 n | 
共享 资源 服务 器 在 同一 个 网 段 ， 这 | N 
无 异 于 内 网 的 安全 隐患 ， 防 火 墙 对 ve wA Mi^ À 


此 无 能 为 力 ， 从 而 也 失去 了 部 车 的 
意义 。 图 2-5 错误 的 防火 墙 部 署 方式 


2. 使 用 DMZ 
外 部 网 络 
目前 一 个 比较 流行 和 正确 的 c 
做 法 就 是 采用 DMZ 的 防火 墙 音 | j 


署 方式 ， 如 图 2-6 所 示 。 也 就 是 在 
防火 墙 上 多 加 一 块 网 卡 ， 将 提供 
对 外 服务 的 服务 絮 和 内 网 的 客户 
闹 严 格 地 隔离 开 来 ， 这 样 ， 即 使 py - 
有 安全 风险 和 漏洞 在 DMZ 中 出 rmm Web 服务 器 
































外 部 网 络 


















































内 部 网 络 
现 ， 由 此 对 内 部 网 络 千 成 的 危害 
也 可 以 得 到 很 好 的 控制 ， 从 而 避 
倪 了 方案 一 的 缺 扩 。 客户 并 


2 r | Hh 


图 2-6 使 用 DMZ I] KAHEST 3 
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3. 使 用 DMZ+ 二 路 防火 墙 


为 了 加 强 方案 二 中 防火 寺 的 
安全 强度 ,目前 有 些 企 业 将 图 2-6 
的 架构 优化 成 图 2-7 的 架构 , 也 就 
是 使 用 DMZ+ 二 路 防火 墙 。 另 外 ， 
在 此 结构 中 选用 防火 墙 ， 应 尽量 
采用 两 家 不 同 公司 的 产品 ， 这 样 
才 有 利于 发 挥 这 种 染 构 的 优势 。 

4. jS XS 

在 前 面 的 几 种 方案 中 , 防火 
墙 本 号 就 是 一 个 路 由 器 ， 在 使 用 
的 过 程 中 用 户 必 须 慎重 地 考虑 
到 路 由 的 问题 。 如 果 网 络 环境 非 
钊 复杂 或 者 是 需要 进行 调整 ， 则 
相应 的 路 由 需要 进行 变更 ， 维 护 
和 操作 起 来 有 一 定 的 难度 和 工 
作 量 。 

通 透 式 防 火 坪 则 可 以 比较 好 
地 解决 上 述 问题 ， 如 图 2-8 Pra. 
该 类 防火 墙 十 一 个 丑 接 设备 ， 并 
量 在 桥接 设备 上 赋予 了 过 派 的 能 
力 。 由 于 桥接 设备 工作 在 OSI FE 
型 的 第 二 层 〈 也 就 是 数据 链 路 
层 ) ， 所 以 不 会 有 任何 路 由 的 问 
题 。 并 且 ， 防 火场 本 吴 也 不 需要 
指定 IP Jub, Dist. IURE Um 
IT] HE Er BE JI IT BS ilic He 7J S TH 5 
s, MAT n] EAR EUNDI E ER 
防火 墙 目 身 的 攻击 ， 因 为 黑客 很 
难 获得 可 以 访问 的 IP Hehe. 
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K| 2-7 ”使 用 DMZ+ 二 路 防火 墙 的 部 署 方式 
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J Mk : n D ep yu 
FTPIIILAs k Webj]lt 45 a f FRI 


K 2-8 通 透 式 防 火场 部 普 方 式 


EZI 应 用 层 防护 : IDs/IPs 


2.4.1 入 侵 检 测 系 统 简介 


IDS (Intrusion Detection System， 入 侵 检 测 系统 ) 顾名思义 便 是 对 入 侵 行为 的 发 觉 ， 其 通过 
对 计算 机 网 络 或 计算 机 系统 中 的 大 和 干 关 键 点 收集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 
否 有 违反 安全 此 略 的 行为 和 被 攻击 的 迹象 。 通 党 来 说 ， 其 共有 以 下 几 个 功能 。 


H 
AL 
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a 监控、 分 析 用 户 和 系统 的 活动 。 

n 核 奋 系统 配置 和 漏洞 。 

a 评估 关键 系统 和 数据 文件 的 完整 性 。 

a 识别 攻击 的 活动 模式 并 回 网 管 人 员 报 警 。 

a 对 卉 第 活动 的 统计 分 析 。 

n 操作 系统 审计 跟踪 管理 ， 识 别 违 反 政 寅 的 用 户 活动 。 

按照 技术 以 及 功能 来 划分 ， 入 侵 检 测 系统 可 以 分 为 以 下 几 类 。 

=。 ”其 于 主机 的 入 侵 检测 系统 : 其 输入 数据 来 源 于 系统 的 审计 日 六 ， 一 般 只 能 检 训 该 主机 

















上 发 生 的 入 侵 。 
a ”其 于 网 络 的 入 侵 检测 系统 : 其 输入 数据 来 源 于 网 络 的 信息 瀛 ， 能 够 众 测 该 网 段 上 友 生 
的 网 络 入 侵 。 





s。 采用 上 述 两 种 数据 来 源 的 分 布 式 入 侵 检 测 系统 : 能 够 同时 分 析 来 目 主 机 系统 审计 日 记 
和 网 络 数据 流 的 入 侵 榨 测 系统 ， 一 般 为 分 布 式 结构 ， 由 多 个 部 件 组 成 。 
Ads dU RSS s vu] 2-9 所 示 。 








tur Bra] 8 


图 2-9 IDS 系统 结构 图 
» JRE: 从 网 络 上 抓 取 数据 包 。 
a ENI: 对 数据 包 做 简单 处 理 ， 如 IP EH, TCP 流 重 组 ， 并 根据 规则 库 判 断 是 否 
为 可 颖 或 入 侵 的 数据 包 。 
a 规则 库 : 是 入 侵 检 测 系统 的 知识 库 ， 定 义 了 各 种 入 侵 的 知识 。 
a 啊 应 模块 : 是 当 系 统 发 现 一 个 可 疑 的 数据 包 时 所 采取 的 啊 应 手段 。 
其 中 ， 包 分 析 引 人 擎 是 整个 系统 的 核心 所 在 ， 对 入 侵 特 征 的 检测 在 这 里 完成 。 


2.4.2 入侵 检测 技术 的 发 展 


H 1980 年 产生 IDS 概念 以 来 ， 己 经 出 现 了 基于 主机 和 基于 网 络 的 入 侵 检 测 系 统 ， 出 现 了 基 
于 知识 的 模型 识别 、 弄 钊 识别 和 协议 分 析 等 入 侵 检测 技术 ， 并 能 够 对 百 兆 、 千 兆 甚 全 更 局 流 量 的 
网 络 系统 执行 入 侵 检 训 。 

入 侵 检 训 技术 的 发 展 已 经 历 了 以 下 四 个 主要 阶段 。 

第 一 阶段 是 以 基于 协议 解码 和 模式 匹配 为 主 的 技术 ， 其 优点 是 对 于 已 知 的 攻击 行为 非常 有 
效 ， 各 种 已 知 的 攻击 行为 可 以 对 号 入 座 ， 误 报 率 低 ; 缺点 是 高 超 的 安全 采用 变形 手法 或 者 新 技术 
可 以 轻易 允 避 检测 ， 漏 报 率 高 。 

第 二 阶段 是 以 基于 模式 匹配 + 简单 协议 分 析 + 腊 秆 统计 为 主 的 技术 ， 其 优点 是 能 够 分 析 处 理 
一 部 分 协议 ， 可 以 进行 重组 ;缺点 是 匹配 效率 较 低 ， 管 理 功 能 较 弱 。 这 种 检 训 撤 术 实际 上 有 是 在 第 
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一 阶段 技术 的 基础 上 增加 了 部 分 对 异常 行为 分 析 的 功能 。 

第 三 阶段 是 以 基于 完全 协议 分 析 + 模 式 匹 配 + 寞 第 统计 为 主 的 技术 ， 其 优点 是 误 报 率 、 汤 报 
率 和 滥 报 率 较 低 ， 效 率 高 ， 可 管理 性 强 ， 并 在 此 基础 上 实现 了 多 级 分 布 式 的 检测 管理 ， 缺 点 是 可 
IMFEZI, DARE EYRE o 

第 四 阶段 是 以 基于 安全 管理 + 协议 分 析 + 模 式 匹 配 + 寞 常 统 计 为 主 的 技术 ， 其 优点 是 入 侵 管 理 
和 多 项 技术 协同 工作 ， 建 立 全 局 的 主动 你 障 体系 ， 具 有 民 好 的 可 视 化 、 可 控 性 和 可 管理 性 。 以 该 
技术 为 核心 ， 可 构造 一 个 积极 的 动态 防御 体系 ， 即 IMS CIntrusion Managernent System， 入 侵 管 
理 系统 ) 。 新 一 代 的 入 侵 检 测 系统 应 该 是 具有 集成 HDS 和 NIDS 的 优点 、 部 署 方便 、 应 用 灵活 、 
功能 强大 ， 并 提供 攻击 签名 、 检 测 、 报 告 和 事件 关联 等 配套 服务 功能 的 智能 化 系统 。 

随 看 交换 技术 、 加 密 信 道 技 术 和 入 侵 技 术 的 不 断 发 展 ， 对 入 侵 检 测 技术 的 要 求 也 越 来 越 高 ， 
检测 的 方法 手段 也 越 来 越 复 杂 。 现 代入 侵 技 术 具 有 以 下 一 些 特 点 。 

sa 综合 化 和 复杂 化 。 















































a ”间接 化 。 
a HRM. 
a fx. 
= HH. 





然而 ， 目 前 IDS 的 检测 模型 始终 沙 后 于 攻击 者 的 新 知识 和 技术 手段 ， 其 主要 表现 在 以 下 几 
^ Jj. 

ms — 4H UIS DANA IDS. 

» — Ds IDS 的 安全 策略 。 
快速 友 动 进攻 ， 使 IDS 无 法 反应 。 

发 动 大 规模 攻击 ， 使 IDS 判断 出 错 。 
直接 破坏 IDS。 

ma 智能 攻击 技术 ， 边 攻击 边 学 习 ， 变 IDS 为 攻击 者 的 工具 。 

因此 ， 面 对 如 此 严峻 的 形势 ， 入 侵 检 测 技术 发 展 趋势 如 下 。 

a 分 布 式 入 侵 检 测 ， 扩 大 检测 范围 和 类别 。 

a FEKAR, BJ, AEN. 

a 应 用 层 入侵 检 测 。 

ma ”局 速 入 侵 检 测 。 

a ”标准 化 和 系统 化 入 侵 检 测 。 

HAT, IDS 发 展 的 新 趋势 主要 表现 在 两 个 方向 上 ， 一 个 是 趋同 构建 入 侵 防 御 系 统 (Intrusion 
Prevention System, IPS) . IPS 是 在 IDS 中 增加 主动 啊 应 功能 实现 的 , 并 以 串联 方式 接 入 网 络 (IDS 
是 以 并 联 方式 接 入 网 络 的 ) ， 一 旦 发 现 有 攻击 行为 ， 则 立即 啊 应 ， 主 动 切断 与 攻击 者 的 连接 。IPS 
不 仅 基 有 入 侵 检 测 功能 ,还 具有 安全 防护 功能 ; 二 是 趋 问 构建 入 侵 管 理 系统 (IMS) 。IMS 是 IDS 
发 展 的 另 一 个 方向 ，IMS 的 目标 是 将 入 侵 检 测 、 脆 弱 性 分 析 ， 以 及 入 侵 防 御 等 多 种 功能 集成 到 一 
个 平台 上 进行 统一 管理 。IMS 技术 是 一 个 管理 过 程 ， 在 未 发 生 攻击 时 ，IMS 主要 考虑 网 络 中 的 漏 
洞 信息 ， 评 估 和 判断 可 能 形成 的 攻击 和 将 面临 的 威胁 ; 在 发 生 攻 击 或 即将 友 生 攻击 时 ， 不 仅 要 检 
测 出 入 侵 行为 ， 还 要 主动 啊 应 和 防御 入 侵 行为 ; 在 受到 攻击 后 ， 还 要 深入 分 机 入 侵 行 为 ， 并 通过 
关联 分 析 来 判断 可 能 出 现 的 下 一 个 攻击 行为 。 
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总 而 言 之 ， 入 侵 检 测 是 一 门 综合 性 技术 ， 既 包括 实时 检测 技术 ， 也 有 事后 分 析 撤 术 。 尽 管用 
户 布 望 通 过 部 普 IDS 来 增强 网 络 安全 ， 但 不 同 的 用 尸 其 需求 也 不同。 由 于 攻击 的 不 硝 定性， 单一 
的 IDS 产品 可 能 无 法 做 到 面面俱到 。 因 此 ，IDS 的 未 来 发 展 必 然 是 多 元 化 的 ， 只 有 通过 不 断 改 进 
和 完善 才能 更 好 地 协助 网 络 进行 安全 防御 。 


2.4.3 ”入 侵 检测 技术 的 分 类 


从 技术 上 讲 , 入 侵 检测 拉 术 大 人 致 分 为 基于 知识 的 模式 识别 、 基 于 知识 的 卉 常识 别 和 协议 分 析 
三 闫 。 而 主要 的 入 侵 检 测 方法 有 特征 检 调 法 、 概 率 统计 分 析 法 和 专家 知识 库 系 统 。 
1. 基于 知识 的 模式 识别 


这 种 扩 术 是 通过 事先 定义 好 的 模式 数据 库 实 现 的 ,其 基本 思想 是 : 衣 先 把 各 种 可 能 的 入 侵 活 
动用 茶 种 模式 表示 出 来 ， 并 建 并 模式 数据 库 ， 然后 监视 主体 的 一 举 一 动 ， 当 检测 到 主体 活动 违反 
事先 定义 的 模式 规则 时 , 根据 模式 匹配 原则 判别 是 否 发 生 了 攻击 行为 。 模式 识别 的 关键 是 建立 入 
侵 模 式 的 表示 形式 ， 同 时 ， 要 能 够 区 分 入 侵 行 为 和 正 关 行为 。 这 种 检测 技术 仅 限 于 检测 出 已 建立 
模式 的 入 侵 行为 ， 属 已 知 类 型 ， 对 新 类 型 的 入 侵 是 无 能 为 力 的 ， 仍 需 改 进 。 

2. 基于 知识 的 异常 识别 


这 种 技术 是 通过 事先 建立 正常 行为 档案 库 实现 的 , JURE MEUS: 肖 先 把 主体 的 各 种 正常 活 
动用 和 种 形式 插 述 出 来 , 并 建立 “正常 活动 档案 ”， 当 和 种 活动 与 所 插 述 的 正常 活动 存 在 磊 弄 时 ， 
束 认 为 是 入侵” 行为， 进而 钻 检 测 识别 。 弄 第 识别 的 关键 是 插 述 正当 活动 和 构建 正 第 活动 档 采 
库 。 利 用 行为 进行 识别 时 ， 存 在 四 种 可 能 : 一 是 入 侵 且 行为 正常 ; DEMHAN A; 三 是 非 
入 侵 且 行为 正常 ; 四 是 非 入 侵 且 行为 民利 。 根 据 异 各 识别 思想 , 将 第 二 种 和 第 四 种 情况 判定 为 “入 
侵 ” 行 为 。 这 种 检测 技术 可 以 检测 出 未 知行 为 ， 并 具有 简单 的 学 习 功 能 。 

以 下 是 儿 种 基于 知识 的 寞 沼 识 列 的 检测 方法 。 

1) 基于 审计 的 攻击 检测 技术 

这 种 检测 方法 是 通过 对 审计 信息 的 综合 分 析 实 现 的 ， 其 基本 外 想 是 : 根据 用 户 的 历史 行为 、 
先前 的 证 据 或 模型 ， 使 用 统计 分 析 方 法 对 用 户 当 前 的 行为 进行 检测 和 判别 ， 当 发 现 可 疑 行 为 时 ， 
保持 跟踪 并 监视 其 行为 ， 同 时 间 系 统 安 全 员 所 区 安 全 审计 报告 。 

2) 基于 神经 网 络 的 攻击 检测 技术 

由 于 用 户 的 行为 十 分 复杂 ,要 准 硝 匹配 一 个 用 户 的 历史 行为 和 当前 的 行为 是 相当 困难 的 ,这 
也 是 基于 审计 攻击 检测 的 主要 弱点 。 而 基于 神经 网 络 的 攻击 检测 技术 则 是 一 个 对 基于 传统 统计 技 
术 的 攻击 检测 方法 的 改进 方向 ， 它 能 够 解决 传统 的 统计 分 析 拉 术 所 面临 的 否 干 问题 例如， 建立 
确切 的 统计 分 布 、 实 现 方法 的 普 过 性 、 降 低 算 法 实现 的 成 本 和 系统 优化 等 问题 。 

3) 基于 专家 系统 的 攻击 检测 技术 

所 谓 专 家 系统 ,网 是 一 个 依据 专家 经 验 定义 的 推理 系统 。 这 种 检测 是 建立 在 专家 经 验 基 础 上 
的 ， 它 根据 专家 经 验 进 行 推理 、 判 断 ， 然 后 得 出 结论 。 例 如 ， 当 用 户 连 续 三 次 登录 失败 时 ， 可 以 
把 该 用 户 的 第 四 次 登录 视 为 攻击 行为 。 

4) 基于 模型 推理 的 攻击 检测 技术 

攻击 者 在 入 侵 一 个 系统 时 往往 采用 一 定 的 行为 程序 , 如 猜测 口令 的 程序 。 这 种 行为 程序 构成 
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了 茶 种 具有 一 定 行为 特征 的 模型 , 根据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ， 可 以 实时 地 检测 
出 恶意 的 攻击 企图 〈 尽 管 攻击 者 不 一 定 都 是 恶意 的 ) 。 用 基于 模型 的 推理 方法 ， 人 们 能 够 为 东 些 
行为 建立 特定 的 模型 ， 从 而 监视 具有 特定 行为 特征 的 茶 些 活动 。 根 据 假设 的 攻击 脚本 ， 这 种 系统 
就 能 检 训 出 非法 的 用 户 行为 。 通 种 为 了 准确 判断 ， 要 为 不 同 的 入 侵 者 和 不 同 的 系统 建立 特定 的 攻 
击 脚 本 。 使 用 基于 知识 的 模式 识别 和 基于 知识 的 卉 常识 别 所 得 出 的 结论 差异 较 大 ， 其 至 得 出 相反 
的 结论 。 这 是 因为 , 基于 知识 的 模式 识别 的 核心 是 维护 一 个 入 侵 模 式 库 , 它 对 已 知 攻 击 可 以 详细 、 
准确 地 报告 出 攻击 类 型 ， 但 对 未 知 攻击 却 无 能 为 力 ， 而 且 入 侵 模 式 库 必须 不 断 更 新 ; 而 基于 知识 
的 卉 各 识别 则 是 通过 对 入 侵 活动 的 检测 得 出 结论 的 ， 它 虽 无 法 准确 判断 出 攻击 的 手段 ， 但 可 以 发 
现 更 广泛 的 ， 其 全 未 知 的 攻击 行为 。 
3. 协议 分 析 


这 种 检测 方法 是 根据 针对 协议 的 攻击 行为 实现 的 , 其 基本 思想 是 : 首先 把 各 种 可 能 针对 协议 
的 攻击 行为 描述 出 来 ， 然 后 建立 用 于 分 析 的 规则 库 ， 最 后 利用 传 感 硕 检查 协议 中 的 有 效 人 向 载 ， 并 
详细 解析 ， 从 而 实现 入 侵 检 测 。 这 种 检测 技术 能 检测 出 更 为 广泛 的 攻击 ,包括 已 知 的 和 未 知 的 攻 
击 行为 。 

入 侵 检 测 系统 之 间 的 区 别 体现 在 很 多 方面 ， 投 照 信 息 源 可 以 分 为 基于 主机 和 基于 网 络 的 IDS， 
按照 控制 策略 可 以 分 为 集中 式 和 分 布 式 IDS， 按 照 啊 应 方式 可 以 分 为 主动 啊 应 和 被 动 啊 应 DS. 32 
照 处 理 的 时 机 可 以 分 为 实时 处 理 型 和 事后 处 理 型 IDS, 按照 分 析 方 法 可 分 为 误 用 检测 型 和 异常 检测 
型 IDS， 我 们 在 此 主要 介绍 最 为 普 遇 的 按照 信息 源 和 分 析 方 法 划分 的 两 闫 入 侵 和 检测 系统 。 


2.4.4 ”入侵 检测 系统 的 分 类 








































































































1. 基于 主机 的 IDS 和 基于 网 络 的 IDS 


在 入 侵 检测 系统 肥 展 的 早期 阶段 ,网络 还 远 没有 今天 这 样 流行 , 因此 早期 鸭 入 侵 检 测 系统 大 
多 是 基于 主机 的 系统 。 基 于 主机 的 入 侵 检 测 系统 通 冲 应 用 两 种 闫 型 的 信息 源 : 操作 系统 审计 踩 迹 
和 系统 日 六 。 操 作 系统 审计 踪迹 由 操作 系统 内 核 产 生 ， 这 些 审计 踩 迹 是 系统 活动 信息 的 集合 ， 是 
对 系统 事件 的 真实 记录 。 由 于 操作 系统 本 喘 提 供 了 对 审计 踩 迹 的 保护 机 制 ， 因 此 作为 入 侵 检 测 的 
于 思源 ， 操 作 系 统 审计 踪迹 的 可 菲 性 能 得 到 很 好 的 你 证 ， 但 审计 数据 过 于 庞杂 并 且 不 易 理 解 是 其 
轮 所 所在。 系统 日 志 是 一 个 反映 各 种 各 样 的 系统 事件 和 设置 的 文件 ， 由 于 日 记 文 件 通 沼 古 由 应 用 
程序 产生 ， 而 且 通 党 存储 在 不 受 保护 的 目录 里 ， 与 操作 系统 审计 踩 迹 相 比 ， 安 全 性 不 够 好 ， 但 是 
系统 日 忘 结构 简单 (比如 作为 文本 文件 形式 存在 )， 理 解 起 来 相对 容易 ， 而 安全 性 问题 可 以 通过 
日 志文 件 重 定 问 等 方法 来 解决 , 因此 日 志文 件 仍然 是 基于 主机 的 入 侵 榨 测 系统 最 第 用 的 信息 源 之 



























































统 的 优点 包括 : 对 入 侵 事件 的 观察 更 为 细腻 ， 理 解 更 为 准确 ， 可 以 观察 到 入 侵 事件 的 后 末 ， 可 以 
检测 到 网 络 入 侵 检 测 系 统 检测 不 到 的 入 侵 ; 不 受 网 络 信息 流 加 密 和 交换 网 络 的 影响 ; 可 以 检测 到 
特洛伊 木马 等 破坏 软件 完整 性 的 入 侵 。 所 存在 的 不 足 主 要 有 : 占用 所 监视 主机 的 系统 资源 ， 影 啊 
系统 运行 效率 ;无 法 检 训 针对 网 络 发 起 的 协同 入 侵 ;， 本 映 容 易 受 到 入 侵 而 失效 。 























主流 ,目前 的 入 侵 检 训 系统 大 多 是 基于 网 络 的 入 侵 检 测 系统 。 基 于 网 络 的 入 侵 检 训 系 统 信息 源 来 目 
网 络 ， 系 统 通过 对 网 络 数据 流 进行 捕获 、 分 析 ， 以 判断 是 售 受 到 入 侵 。 在 体系 结构 上 ， 基 于 网 络 的 
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入 侵 检 测 系 统 通 币 包含 一 系列 传 感 融 〈sensor) 和 中 央 探 制 台 ， 这 些 传 感 顺 负责 监视 网 络 数据 流 ， 
做 局 部 的 分 析 和 判断 ， 并 问 中 央 探 制 台 报告 。 这 些 传感器 通常 被 设计 成 隐藏 模式 运行 ,因此 安全 性 
较 好 。 基 于 网 络 的 入 侵 检 测 系 统 的 主要 优点 包括 : 作用 范围 较 广 。 与 仅 能 监视 单一 主机 的 主机 型 入 
侵 检 测 系 统 不 同 , 基于 网 络 的 入 侵 检测 系统 可 以 部 团 在 网 段 的 关键 位 置 ， 监控 流 经 该 网 段 所 有 主机 
的 网 络 通 信 流 ,你 护 该 网 段 的 所 有 主机 ， 这 对 局 域 网 用 户 特 别 实用 ;本 号 的 抗 入 侵 性 能 较 好 ， 日 喘 
安全 性 较 高 ;提供 实时 的 网 路 监视 ， 对 入 侵 反 应 迅速 ， 对 现 有 网 络 影 啊 很 小 ; 操作 系统 无 关 性 。 所 
存在 的 主要 不 中 之 处 在 于 : 局 速 网 络 环 境 下 的 数据 报 丢 失 问 题 ， 交 换 网 络 环境 下 以 及 VPN 环境 下 
数据 报 文 的 加 密 问 题 , 随 看 越 来 越 多 的 企业 组 织 使 用 VPN (Virtual Private Network, 虚拟 专用 网 )， 
这 个 问题 将 会 变 得 更 加 突出 ;检测 精确 度 较 并， 容 匈 被 蜗 明 的 黑客 欺骗 。 

基于 主机 和 基于 网 络 的 入 侵 检 测 系统 都 有 各 目的 优势 ,两 者 相互 补充 。 这 两 种 方式 都 能 发 现 
对 方 无 法 检测 到 的 一 些 入 侵 行 为 。 从 茶 个 重要 服务 器 的 键盘 发 动 的 本 地 入 侵 并 不 经 过 网 络 ， 因 此 
束 无 法 通过 基于 网 络 的 入 侵 检 疯 系 统 检测 到 ， 只 能 通过 使 用 基于 主机 的 入 侵 检 测 系 统 来 检测 。 基 
于 网 络 的 入 侵 检 测 系 统 通过 检查 所 有 的 数据 包 的 包头 (header) 来 进行 检测 ， 而 基于 主机 的 入 侵 
检测 系统 并 不 伍 看 报 文 尖 部 但。 许多 基于 IP 的 拒绝 服务 入 侵 和 雄 厂 入 侵 ， 只 能 通过 介 看 它们 通 
过 网 络 传输 时 的 包 首 标 才 能 识别 。 基 于 网 络 的 入 侵 检 测 系统 可 以 研究 负载 的 内 容 ,得 找 特 定 入 侵 
中 使 用 的 命令 或 语法 ， 这 类 入 侵 可 以 被 实时 检 碍 包 序 列 的 入 侵 检 测 系 统 迅速 识别 。 而 基于 主机 的 
系统 无 法 看 到 负载 ， 因 此 也 无 法 识别 租 入 式 的 负载 入 侵 。 绽 合 使 用 基于 主机 和 基于 网 络 这 商 种 方 
式 能 够 发 挥 更 好 的 检测 性 能 。 比 如 基于 主机 的 入 侵 检测 系统 使 用 系统 日 六 作为 检测 依据 ， 因 此 它 
们 在 确定 入 侵 是 人 否 已 经 取得 成 功 时 与 基于 网 络 的 检测 系统 相 比 具有 更 大 的 准确 性 。 在 这 方面 ， 基 
于 主机 的 入 侵 检 测 系 统 对 基于 网 络 的 入 侵 检 测 系统 是 一 个 很 好 的 补 序 , 人 们 完全 可 以 使 用 基于 网 
络 的 入 侵 检测 系统 提供 早期 报警 ， 而 使 用 基于 主机 的 入 侵 检 测 系统 来 验证 入 侵 是 否 取得 成 功 。 

从 上 面 的 分 析 可 以 看 出 , 基于 主机 的 入 侵 检 测 系 统 和 基于 网 络 的 入 侵 检 测 系 统 具 有 较 强 的 互 
补 性 。 将 基于 主机 的 入 侵 检 测 系 统 和 基于 网 络 的 入 侵 检 测 系 统 结 合 起 来 ， 取 长 补 短 ， 优 势 互 补 ， 
对 于 提高 入 侵 检 测 系统 的 检测 性 能 很 有 帮助 。 

2. 基于 知识 检测 的 IDS 和 基于 行为 检测 的 IDS 


基于 知识 的 检测 也 称 为 误 用 检 训 ， 误 用 检测 对 检 训 的 系统 活动 进行 分 析 , 试图 发 现 那 些 与 预 
定义 好 的 入 侵 特 征 相 匹配 的 事件 和 事件 集 。 与 入 侵 相 对 应 的 模式 被 称 为 特征 ,所 以 误 用 检测 也 被 
称 为 基于 特征 的 检 训 。 在 目前 的 误 用 检 训 产品 中 ,最 常见 的 实现 形式 是 将 每 一 个 入 侵 事件 行为 定 
义 为 一 个 特征 描述 , 所 有 入 侵 行 为 特征 摘 述 束 组 成 一 个 特征 库 。 误 用 检测 系统 通过 对 事件 进行 分 
析 ， 提 取出 事件 的 特征 模式 ， 并 与 特征 库 进 行政 配 ， 由 匹配 结果 来 判断 是 否 有 入 侵 行为 发 生 。 规 
则 匹配 是 最 常见 的 误 用 检测 手段 ， 目前 也 有 比较 复杂 的 误 用 检测 技术 , 包括 基于 状态 的 分 析 技 术 
和 状态 转换 技术 ， 都 在 一 定 程度 上 对 简单 的 规则 匹配 技术 进行 了 改进 和 提高 。 误 用 检测 技术 的 优 
AA: 能 准确 迅速 地 检测 到 入 侵 模式 库 里 已 经 定义 好 的 入 侵 模式 ， 而 不 会 产生 太 多 的 误 报 ; 检测 
结果 清晰 明明 ， 容 易 对 入 侵 事 件 有 准确 的 定位 ， 关 似 于 杀毒 软件 的 工作 模式 ， 便 于 升级 维护 。 存 
在 的 主要 不 足 乙 处 包括 : 对 入 侵 模式 库 的 依赖 性 很 强 ， 只 能 检测 到 已 知 的 入 侵 模 式 ， 对 新 型 入 侵 
无 能 为 力 ， 容 易 产 生 漏 报 ;入侵 模 式 库 的 完备 性 难以 保证 ， 存 在 难以 管理 以 及 搜索 的 效率 问题 。 

基于 行为 的 检测 也 称 为 开间 检 训 , 异 秆 检测 扩 术 基于 用 户 行为 和 进程 行为 都 有 较 大 程度 的 稳 
定性 这 样 一 个 前 提 。 如 果 建 立 了 用 户 行 为 和 进程 行为 的 正 第 模式 ， 当 出 现 较 大 的 偏 凑 异常 时 ， 则 
可 以 认为 有 恶意 的 入 侵 行为 发 生 。 寞 津 检测 的 关键 问题 是 正 第 模式 的 建立 以 及 对 偏 半 的 检测 和 判 
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XE» 在 实现 技术 上 , 异种 检测 系统 首先 收集 一 段 时 间 正 常 操 作 活动 的 历史 数据 , 建立 起 代表 用 户 、 
主机 、 网 络 连接 的 正常 行为 轮廓 ,然后 收集 事件 数据 并 使 用 不 同 的 方法 来 判断 所 检测 的 事件 活动 
是 侍 偏 离 了 正 第 行为 轮廓 。 卉 常 检测 拉 术 是 目前 入 侵 检测 拉 术 研究 的 热点 领域 ,其 所 能 达到 的 对 
未 知 入 侵 行为 的 检测 能 力 令 人 神往 ， 虽然 目前 还 不 能 准确 地 做 到 这 一 点 , 但 有 一 些 研 究 人 至 少 可 以 
表明 这 一 点 是 能 够 做 到 的 。 在 异种 检测 领域 主要 的 方法 有 : 统计 方法 、 机 占 学 习 方法 、 数 据 挖 据 
方法 、 聚 类 方法 等 。 寞 津 检 测 拉 术 的 优点 有 : 不 依赖 于 具体 的 入 侵 知 识 ， 而 是 基于 行为 ， 可 以 检 
测 到 新 型 的 入 侵 方式 ; 不 存在 入 侵 模式 库 ， 避 人 免 了 烦琐 费时 的 搜索 匹配 工作 ， 效 京 较 融 。 存 在 的 
主要 不 足 之 处 : 系统 、 用 户 、 网 络 行为 的 复杂 性 导致 正常 模式 的 建立 较为 困难 ;: 统计 方法 的 应 用 
BAEK E: EITA ABRE EE, RIRE m o 

RHR E E EMRE T APA RR, 误 用 检测 的 核心 问题 是 对 入 侵 行 为 进行 醒 
式 提取 ， 并 试图 建立 一 个 尽 可 能 包含 更 多 入 侵 行为 模式 的 特征 库 ， 之 后 对 所 捕获 到 的 事件 进行 分 
析 匹 配 ， 以 发 现 与 入 侵 模式 库 里 模式 相 匹 配 的 入 侵 行为 ; 异 肖 检测 的 核心 问题 是 正常 模式 的 建立 
和 异 第 判定 标准 的 建立 ， 先 建立 起 正常 的 模式 ,之 后 对 所 捕获 的 事件 进行 分 析 判 定 ， 看 其 是 舍 已 
经 达到 异常 的 标准 。 这 两 种 思路 虽然 不 同 ， 但 这 两 种 技术 可 以 有 效 地 结合 起 来 ， 优 势 互 补 ， 以 实 
现 对 入 侵 事 件 更 准确 的 检测 ， 比 如 可 以 把 开 利 检 训 的 输出 作为 误 用 检 训 特征 库 的 更 狐 输 入 来 源 ， 
而 误 用 检 调 对 入 侵 行 为 的 判定 也 可 以 作为 异 负 检测 对 开间 行为 判定 的 一 个 参考 。 目 前 商业 化 的 入 
侵 检测 产品 大 都 古 将 误 用 检测 技术 和 异 第 检测 拉 术 结合 起 来 ， 以 误 用 检测 模块 作为 主体 ,， 和 寞 常 检 
测 模 块 作为 有 益 的 补充 。 

综 上 所 述 ， 不 论 是 何 种 入 侵 检 测 系统 都 存在 这 样 或 那样 的 不 足 ， 因 而 需要 不 断 改进 和 完善 ， 
一 个 较为 理想 的 入 侵 检 测 系 统 应 具备 以 下 特征 。 

= 准确 性 。 检 测 系统 对 发 现 的 攻击 行为 不 应 出 现 误 报 和 漏 报 现象 。 

a 可 菲 性 。 一 个 检测 系统 对 管理 员 应 该 是 透明 的 ， 并 且 能 在 无 人 监控 的 情况 下 正 硝 运 行 ， 

只 有 这 样 才 可 以 运行 在 被 检测 的 系统 环境 中 。 
" 容错 性 。 检 测 系统 必须 具有 民 好 的 容错 性 ， 不 论 所 监控 的 系统 处 于 何 种 状态 ， 检 测 系 
统 本 号 必须 具备 完整 性 ， 保 证 检测 用 的 知识 库 系 统 不 会 受到 干扰 和 破坏 。 

a 可用性。 检测 系统 的 整体 性 能 不 应 受 系统 状态 的 变化 而 产生 较 大 流动 或 严重 降低 。 

a 可 验证 性 。 检 测 系统 必须 允许 管理 员 适 时 监视 攻击 行为 。 

n 安全 性 。 检 测 系 统 能 保护 目 身 安全 和 其 有 较 强 的 抗 欺 骗 攻击 的 能 

a ”可 适应 性 。 检 测 系 统 可 随时 跟踪 系统 环境 的 变化 和 及 时 调整 检测 策略 。 

a 灵活 性 。 检 测 系统 可 根据 具体 情况 ， 定 制 不 同 的 且 与 防御 机 制 相 适应 的 使 用 模式 。 


2.4.5 “入侵 防御 系统 (IPS ) 


随 独 网 络 入 侵 事 件 的 不 断 增 加 和 黑客 攻击 水 平 的 不 断 提 高 ， 一 方面 企业 网 络 感染 病毒 、 遭 受 
攻击 的 速度 日 瘟 加 快 , 男 一 方面 企业 网 络 受 到 攻击 做 出 啊 应 的 时 间 却 越 来 越 沛 后 ,解决 这 一 矛盾 ， 
传统 的 防火 墙 或 入 侵 检测 技术 ADS 显得 力不从心 ， 这 就 需要 引入 一 种 全 新 的 技术 一 一 入 侵 防 
1i] CIntrusion Prevention System, IPS) 。 

入 侵 防 御 系 统 是 网 络 安全 设施 , 是 对 防 病毒 软件 (Antivirus Programs) 和 防火 墙 (Packet Filter, 
Application Gateway) 的 人 补充。 入 侵 防 逢 系统 是 一 部 能 够 监视 网 络 或 网 络 设备 的 网 络 资料 传输 行 
为 的 计算 机 网 络 安全 设备 ， 能够 即时 地 中 汤 、 调 整 或 阳 离 一 些 不 正常 或 是 共有 伤害 性 的 网 络 资料 
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传输 行为 。 
2.4.6 IPS 的 发 展 


IPS 是 这 段 时 间 网 络 安全 业内 比较 热门 的 一 个 词 ， 这 种 既 能 及 时 发 现 又 能 实时 阻 断 各 种 入 侵 
行为 的 安全 产品 ， 自 面世 那天 起 ， 就 受到 各 大 安全 厂商 和 用 户 的 广泛 关注 。 入 侵 防 御 系 统 APS) 
就 是 入 侵 检测 系统 (IDS) 的 升级 产品 , 有 了 IPS， 就 可 以 替代 以 前 的 IDS 系统 , 这 也 正 是 Gartner 
在 2003 年 发 表 那 篇 半 名 的 “IDSisdead” 的 理由 。 

从 入 侵 防 御 系 统 的 起 源 来 看 ， 这 个 “升级 说 ”似乎 有 些 道理 : NetworkICE 公司 在 2000 年 首 
次 提出 了 PS 这 个 概念 ， 并 于 2000 年 的 9 月 18 日 推出 了 BlackICEGuard， 这 是 一 个 串 行 部 署 的 
IDS， 下 接 分 析 网 络 数据 并 实时 对 恶意 数据 进行 丢弃 处 理 。 但 这 种 概念 一 直 受 到 质疑 ， 目 2002 
年 IPS 概念 传 入 国内 起 ，IPS 这 个 新 型 的 产品 形态 就 不 断 地 受到 挑战 ， 而 且 各 大 安全 广 商 、 客 户 
都 没有 表现 出 对 IPS 的 兴趣 ， 普 裔 的 一 个 观点 是 : 在 IDS 基础 上 发 展 起 来 的 IPS 产品 ， 在 没 能 解 
ik IDS 固有 问题 的 前 提 下 ， 是 无 法 得 到 推广 应 用 的 。 

这 个 固有 问题 就 是 “ 误 报 ”和 “ 沂 报 ”，IDS 的 用 户 常常 会 有 这 种 苦恼 : IDS 界面 上 充斥 着 
大 量 的 报警 信息 ， 经 过 安全 专家 分 析 后 ， 被 告知 这 是 误 警 。 但 在 IDS 旁 路 检测 的 部 署 形 式 下 ， 这 
些 误 警 对 正常 业务 不 会 造成 影响 ， 仅 需要 人 花费 资源 去 做 人 工分 析 。 而 串 行 部 署 的 IPS 整 完 全 不 一 
样 了 ， 一旦 出 现 了 误 报 或 滥 报 ， 触 发 了 主动 的 阻 断 响应 ， 用 户 的 正常 业务 就 有 可 能 受到 影响 ， 这 
是 所 有 用 户 都 不 愿意 看 到 和 接受 的 。 正 是 这 个 原因 ， 叶 人 笃 了 IPS 概念 在 2005 年 之 前 的 国内 市 场 
表现 平淡 。 随 大 时 间 的 推进 ， 目 2006 年 起 ， 大 量 的 国外 厂商 的 IPS 产品 进入 国内 市 场 ， 各 本 土 
厂商 和 用 户 都 开始 重新 关注 起 IPS 这 一 并 不 新 鲜 的 “新 ”概念 。 

明确 了 IPS 的 主线 功能 是 深层 防御 、 精 确 阻 断后 ，IPS 未 来 发 展 趋势 也 就 明天 化 了 : 不 断 丰 
富 和 完善 IPS 可 以 精确 阻 断 的 攻击 种 类 和 类 型 ， 并 在 此 基础 之 上 提升 IPS 产品 的 设备 处 理性 能 。 

在 提升 性 能 方面 存在 的 一 个 导论 就 是 : 需 提升 性 能 ， 除了 在 软件 处 理 方式 上 优化 外 ， 便 件 架 
构 的 设计 也 是 一 个 非常 重要 的 方面 ， 目 前 的 ASIC/NP 等 高 性 能 人 硬件， 都 是 采用 风 入 式 指 令 + 专 用 
语言 开发 ， 将 已 知 攻击 行为 的 特征 固化 在 电子 固件 上 ， 虽 然 能 提升 匹配 的 效率 ， 但 在 攻击 识别 的 
灵活 度 上 过 于 死板 〈 对 变种 较 难 发 现 ) , 在 新 攻击 特征 的 更 狐 上 有 所 洲 后 〈 需 做 特征 的 编码 化 ) 。 
而 基于 开放 硬件 平台 的 IPS. 由 于 采用 的 是 高 级 编程 语言 , 不 存在 变种 攻击 识别 和 特征 更 新 方面 的 
问题 ， 但 在 性 能 上 存在 处 理 效率 瓶颈 : 暂时 达 不 到 电信 级 骨干 网 络 的 流量 。 所 以 ， 入 侵 防 御 系 统 
的 未 来 发 展 方向 应 该 有 以 下 两 个 方面 。 

第 一 ， 更 加 广泛 的 精确 阻 断 范 围 : 扩大 可 以 精确 阻 断 的 事件 类 型 ， 尤 其 是 针对 变种 以 及 无 法 
通过 特征 来 定义 的 攻击 行为 的 防御 。 

第 二 ， 适 应 各 种 组 网 模式 : 在 人 确保 精确 阻 断 的 情况 下 ， 适 应 电信 级 骨干 网 络 的 防御 需求 。 
2.4.7 IPS 的 技术 特征 

IPS 具有 以 下 技术 特征 。 

a BARET: RAURA RRIT PS 设备 才能 够 实现 实时 的 安全 防护 ， 实 时 阻拦 

所 有 可 疑 的 数据 包 ， 并 对 该 数据 流 的 璋 余部 分 进行 拦截 。 
a ”深入 分 析 和 控制 : IPS 必须 具有 深入 分 析 能 力 ， 以 确定 哪些 恶意 流量 已 经 被 拦截 ， 根 据 
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攻击 类 型 、 策 略 等 来 确定 哪些 流量 应 该 被 拦截 。 

a 入侵 特 征 库 : 高 质量 的 入 侵 特 征 库 是 IPS 高 效 运行 的 必要 条 件 ，IPS 还 应 该 定期 升级 入 
侵 特 征 库 ， 并 快速 应 用 到 所 有 传感器 。 

a 高效 处 理 能 力 : IPS 必须 具有 高 效 处 理 数 据 包 的 能 力 ， 对 整个 网 络 性 能 的 影响 保持 在 最 
人 


2.4.8 IPS 的 功能 特点 


入 侵 防御 系统 作为 串 接 部 署 的 设备 ， 确 保 用 户 业务 不 受 影响 是 一 个 重点 ， 错 误 的 阻 断 必定 意 
味 着 影响 正常 业务 ， 在 错误 阻 断 的 情况 下 ,各 种 所 谓 扩展 功能 、 高 性 能 都 是 一 句 空话 。 这 就 引出 了 
IPS 设备 应 该 关心 的 重点 一 一 精确 阻 断 ， 即 精确 判断 各 种 深层 的 攻击 行为 ， 并 实现 实时 的 阻 断 。 

精确 阻 断 解决 了 自 IPS 概念 出 现 以 来 用 户 和 厂商 的 最 大 困惑 ， 如 何 确保 IPS 无 误 报 和 小报 ， 
使 得 串 接 设备 不 会 形成 新 的 网 络 故障 点 。 而 作为 一 款 防 御 入 侵 攻击 的 设备 ， 毫 无 疑问 ， 防 御 各 种 
深层 入 侵 行为 是 第 二 个 重点 ， 这 也 是 IPS 系统 区 别 于 其 他 安全 产品 的 本 质 特点 ;这 也 给 精确 阻 断 
加 上 了 一 个 修饰 语 : 保障 深层 防御 情况 下 的 精确 阻 断 ， 即 在 确保 精确 阻 断 的 基础 上 ， 尽 量 多 地 发 
现 攻击 行为 (如 SQL 注入 攻击 、 缓 冲 区 溢出 攻击 、 恶 意 代码 攻击 、 后 门 、 木 马 、 间 谍 软件 ) ， 
这 才 是 IPS 发 展 的 主线 功能 。 

常用 的 攻击 检测 方法 有 两 种 , 一 种 方法 是 通过 定义 攻击 行为 的 数据 特征 来 实现 对 已 知 攻击 的 
检测 ， 其 优势 是 技术 上 实现 简单 、 易 于 扩充 、 可 迅速 实现 对 特定 新 攻击 的 检测 和 拦截 ， 但 仅 能 识 
别 已 知 攻击 、 抗 变种 能 力 弱 。 另 一 种 方法 是 通过 分 析 攻 击 产生 原理 ， 定 义 攻击 类 型 的 统一 特征 ， 
能 准确 识别 基于 相同 原理 的 各 种 攻击 、 不 受 攻击 变种 的 影响 ， 但 技术 门槛 高 、 扩 充 复杂 、 应 对 新 
攻击 速度 有 限 。 

融合 “基于 特征 的 检测 机 制 ” 和 “基于 原理 的 检测 机 制 ” 形 成 的 “柔性 检测 ”机 制 ， 其 最 大 
特点 就 是 基于 原理 的 检测 方法 与 基于 特征 的 检测 方法 并 存 ， 有 机 组 合 了 两 种 检测 方法 的 优势 。 这 
种 融合 不 仅 是 一 个 两 种 检测 方法 的 大 融合 ， 而 且 细 分 到 对 攻击 检测 防御 的 每 一 个 过 程 中 , 在 抗 和 
避 的 处 理 、 协 议 分 析 、 攻 击 识别 等 过 程 中 都 包含 了 动态 与 静态 检测 的 融合 。 

通过 运用 柔性 检测 机 制 ， 入 侵 防御 系统 进一步 增强 了 设备 的 抗 躲 避 能 力 、 精 确 阻 断 能 力 、 变 
形 攻击 识别 能 力 和 对 新 攻击 应 变 能 力 ， 提 高 了 精确 检测 的 覆盖 面 。 

扩展 功能 和 高 性 能 , 也 是 入 侵 防御 系统 所 必须 关注 的 内 容 , 但 也 要 符合 产品 的 主线 功能 发 展 
趋势 。 如 针对 PAP 的 限制 : P2P 作为 一 种 新 兴 的 下 载 手段 ， 得 到 了 极为 广泛 的 运用 ， 但 由 无 限制 
的 P2P 应 用 会 影响 网 络 的 带宽 消耗 ， 并 且 还 随 之 带 来 知识 产权 、 病 毒 等 多 种 相关 问题 。 而 实现 对 
P2P 的 控制 和 限制 ， 需 要 较为 深入 的 应 用 层 分 析 ， 交 给 IPS 来 限制 、 防 范 ， 是 一 个 比较 恰当 的 先 
择 。 而 ACL 控制 、 路 由 、NAT 等 ,这 些 都 是 防火 墙 可 以 完成 的 工作 ,在 IPS 上 来 实现 这 些 功能 ， 
就 有 画蛇添足 之 嫌 了 。 

性 能 表现 是 IPS 的 又 一 重要 指标 , 但 这 里 的 性 能 应 该 是 更 广泛 含义 上 的 性 能 : 包括 了 最 大 的 
参数 表现 和 异常 状况 下 的 稳定 保障 。 也 就 是 说 ， 性 能 除了 需要 关注 诸如 “吞吐 率 多 大 ? ”，“ 转 
发 时 延 多 长 ? ”，“ 一 定 背景 流下 检测 率 如 何 ? ”等 性 能 参数 表现 外 ， 还 需要 关注 : “如 果 出 现 
了 意外 情况 ， 怎 样 /多 快 能 恢复 网 络 的 正常 通信 ? ”， 这 个 问题 也 是 IPS 出 现 之 初 被 质疑 的 一 个 
重点 。 

实时 检测 与 主动 防御 是 IPS 最 为 核心 的 设计 理念 ， 也 是 其 区 别 于 防火 墙 和 IDS 的 立足 之 本 。 
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为 实现 这 一 理念 ，IPS 在 以 下 四 个 方面 实现 了 技术 突破 ， 形 成 了 不 可 低估 的 优势 。 

" 在 线 安装 〈In-Line) 。IPS 保留 IDS 实时 检测 的 技术 与 功能 ， 但 是 却 采 用 了 防火 载 式 的 
在 线 安 闭 ， 即 直接 舱 入 到 网 络 流 量 中 ， 通 过 一 个 网 络 端 口 接收 来 自 外 部 系统 的 流量 ， 
经 过 检 醋 人 确认 其 中 不 包含 异 第 活动 或 可 疑 内 容 后 ， 再 通过 为 外 一 个 端口 将 它 传送 到 内 
部 系统 中 。 

= ”实时 阳 汤 (Real-time Interdiction?) 。IPS 具有 强 有 力 的 实时 阳 断 功能 ， 能 够 预先 对 入 侵 
活动 和 攻击 性 网 络 流量 进行 拦截， 避免 其 造成 任何 损失 。 

a 先进 的 检测 技术 (Advanced Detection Technology) 。 主 要 是 并 行 处 理 检测 和 协议 重组 
分 析 。 所 谓 并 行 处 理 检测 是 指 所 有 流 经 IPS 的 数据 包 , 都 采用 并 行 处 理 方式 进行 过 滤 占 
匹配 ， 实 现在 一 个 时 钟 周期 内 ， 遇 历 所 有 数据 包 过 滤 磊 ;而 协议 重组 分 析 是 指 所 有 流 
经 IPS 的 数据 包 ， 必须 首先 经 过 便 件 级 预 处 理 ， 完 成 数据 包 的 重组 , 确定 其 其 体 应 用 协 
议 。 然 后 ， 根 据 不 同 应 用 协议 的 特征 与 攻击 方式 ，IPS 对 于 重组 后 的 包 进 行 痛 选 ， 将 可 
疑 者 送 入 专门 的 特征 库 进 行 比 对 ， 从 而 提高 检测 的 质量 和 效率 。 

a ”特殊 规则 植 入 功能 (Build-in Special Rule) > IPS 允许 植 入 特殊 规则 以 阻止 恶意 代码 。 
IPS 能 够 辅助 实施 可 接收 应 用 策略 CAUP) ， 如 禁止 使 用 对 等 的 文件 共享 应 用 和 占有 大 
量 带 宽 的 免费 互联 网 电话 服务 工具 等 。 

a ”自学 习 与 自 适 应 能 力 CSelf-study & Self-adaptation Ability) 。 为 了 应 对 黑客 们 处 心 积 虑 、 
化 样 翻新 的 攻击 手段 ，IPS 必须 其 有 人 工 智 能 的 目 学 习 与 日 适应 能 力 。 能 够 根据 所 在 网 
络 的 通信 环境 和 被 入 侵 状 况 ， 分 析 和 抽取 新 的 攻击 特征 以 更 独特 征 库 ， 目 动 总 结 经 验 ， 
定制 新 的 安全 防御 策略 。 

客观 地 说 ，IPS 也 存在 如 下 缺点 。 

a 总 体 拥 有 成 本 (TOC) 高 。 浩 大 的 高 可 用 性 HA) 实时 计算 需求 决定 了 IPS 必须 选用 
融 唤 的 专用 计算 设备 ， 但 是 可 观 的 总 体 拥有 成 本 却 使 不 少 用 户 望 而 却步 。 

a 单 点 故障 CSingle-point Fault?) 。IPS 的 阻 断 能 力 决定 其 必须 采用 网 络 杏 入 模式 ， 而 这 束 
可 能 造成 单 点 故障 。 

= HERENEAN (Performance Bottle-neck) 。 即 使 IPS 设备 不 出 现 故 障 ， 它 仍然 是 一 个 潜在 的 
网 络 瓶 领 ， 不 仅 会 增加 涉 后 时 间 ， 而 且 会 降低 网 络 的 效率 ， 因 此 ， 绝 大 多 数 高 靖 IPS 
产品 供应 商都 通过 使 用 自 定 义 硬 件 (FPGA、 网 络 处 理 器 或 者 ASIC 芯片 ) 来 提高 IPS 
的 运行 效率 ， 以 减少 其 对 于 业务 网 络 的 负面 影 啊 。 

a fE (False positive) 与 漏 报 (False negatives) 后 果 同 样 严 重 。 在 网 络 流量 几乎 成 几何 
级 数 增 加 的 情况 下 ， 一 旦 生成 和 警报， 最 基本 的 要 求 驶 是 不 让 “ 误 报 ”有 可 乘 之 机 ， 寻 
致 合法 流量 也 很 有 可 能 被 意外 拦截 。 如 末 触 发 了 误 报 警报 的 流量 恰好 是 来 目 上 级 、 合 
作 伙伴 和 客户 的 重要 信息 ，IPS 不 仅 实 施 了 一 次 性 错误 阻 断 ， 而 且 会 切断 与 他 们 的 信息 
通道 ， 其 结果 不 言 而 喻 。 

IPS 技术 需要 面 对 很 多 挑战 ， 其 中 主要 有 三 点 : 一 是 单 点 故障 ， 二 是 性 能 租 代 ， 三 是 误 报 和 
漏 报 。 设 计 要 求 PS 必须 以 租 入 模式 工作 在 网 络 中 ， 而 这 就 可 能 造成 瓶 贷 问题 或 单 点 故障 。 如 琳 
IDS 出 现 故 障 ， 最 坏 的 情况 也 就 是 造成 菜 些 攻击 无 法 锐 检 测 到 ， 而 柑 入 式 的 IPS. 设备 出 现 问 题 ， 
就 会 严重 影响 网 络 的 正 弟 运转。 如果 IPS 出 现 故障 而 关闭 ， 用 户 束 会 面 对 一 个 由 IPS 造成 的 拒绝 
服务 问题 ， 所 有 客户 都 将 无 法 访问 企业 网 络 提 供 的 应 用 。 













































































61 


防线 


企业 Linux 安全 运 维 理念 和 实战 


62 





即使 IPS 设备 不 出 现 故 障 ， 它 仍然 是 一 个 潜在 的 网 络 瓶 贷 ， 不 仪 会 增加 浪 后 时 间 ， 而 且 会 降 
低 网 络 的 效率 ，IPS 必须 与 数 千 兆 或 者 更 大 容量 的 网 络 流量 保持 同步 ， 尤 其 是 当 加 载 了 数量 庞大 
的 检测 特征 库 时 ， 设 计 不 够 完善 的 IPS 的 入 设备 无 法 文 持 这 种 响应 速度 。 绝 大 多 数 高 端 IPS 产品 
供应 商都 通过 使 用 自 定义 硬件 (FPGA、 网 络 处 理 器 和 ASIC 芯片 ) 来 提高 PS 的 运行 效率 。 

误 报 率 和 漏 报 率 也 需要 IPS 认真 面 对 。 在 繁忙 的 网 络 当 中 ， 如果 以 每 秒 需 要 处 理 十 条 警报 信 
县 来 计算 ，IPS 每 小 时 至 少 需要 处 理 36000 条 警报 ， 一 天 就 是 864000 条 。 一 旦 生成 了 警报 ， 最 
基本 的 要 求 就 是 IPS 能 够 对 警报 进行 有 效 处 理 。 如 果 入 侵 特 征 编 写 得 不 是 十 分 完善 , 那么 “ 误 报 ” 
就 有 了 可 乘 之 机 , 导致 合法 流量 也 有 可 能 被 意外 拦截 。 对 于 实时 在 线 的 IPS 来 说 , 一 旦 拦截 了 ” 攻 
击 性 ”数据 包 ， 就 会 对 来 目 可 疑 攻 击 者 的 所 有 数据 流 进 行 拦截 。 如 果 触 发 了 误 报 警报 的 流量 恰好 
是 某 个 客户 订单 的 一 部 分 ， 其 结果 可 想 而 知 ， 这 个 客户 整个 会 话 就 会 被 和 关闭， 而且 此 后 该 客户 所 
有 重新 连接 到 企业 网 络 的 合法 访问 都 会 被 “尽职 尽 黄 ”的 IPS PU. 

IPS) 商 采 用 各 种 方式 加 以 解决 。 一 是 绽 合 采用 多 种 检测 技术 ， 二 是 采用 专用 便 件 加 速 系统 
来 提高 IPS 的 运行 效率 。 尽 管 如 此 ， 为 了 避免 IPS 重 蹈 IDS 2885 J AX IPS 的 态度 还 是 十 分 谨 
慎 的 。 例 如 ，NAI 提供 的 基于 网 络 的 入 侵 防 护 设 备 提 供 多 种 接 入 模式 ， 其 中 包括 劳 路 接 入 方式 ， 
在 这 种 模式 下 运行 的 IPS 实际 上 就 是 一 台 纯 粹 的 IDS 设备 , NAI 希望 提供 可 选择 的 接 入 方式 来 帮 
助 用 户 实现 从 旁 路 监听 问 实 时 阻止 攻击 的 目 然 过 渡 。 

IPS 的 不 足 并 不 会 成 为 阻止 人 们 使 用 IPS 的 理由 ， 因 为 安全 功能 的 融合 是 大 势 所 趋 ， 入 侵 防 
护 顺 应 了 这 一 潮流 。 对 于 用 户 而 言 ， 在 三 商 提供 技术 文 持 的 条 件 下 ， 有 选择 地 采用 IPS， 仍 不 失 
为 一 种 应 对 攻击 的 理想 选择 。 


2.4.9 IPS 的 产品 种 类 













































































1. 基于 主机 的 入 侵 防护 (HIPS) 


HIPS (Host IPS) 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ,防止 网 络 攻击 入 侵 操 作 系 统 以 及 
应 用 程序 。 基 于 主机 的 入 侵 防 护 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 。Cisco 公司 的 
Okena、NAI 公司 的 McAfee Entercept、 先 群 金 尾 的 龙 洲 服 务 占 核心 防护 都 属于 这 类 产品 ， 因 此 
它们 在 防范 红色 代码 和 Nimda 的 攻击 中 ， 起 到 了 很 好 的 防护 作用 。 基 于 主机 的 入 侵 防 护 技术 可 
以 根据 目 定义 的 安全 人 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服务 右 、 主 机 发 起 的 恶意 入 侵 。HIPS 可 以 
阻 断 缓冲 区 洲 出 、 改 变 登 录 口 令 、 改 写 动态 链接 库 以 及 其 他 试图 从 操作 系统 夺取 控制 权 的 入 侵 行 
为 ， 整 体 提升 主机 的 安全 水 平 。 

在 技术 上 ，HIPS 采用 独特 的 服务 器 保护 途径， 利用 包 过 小 、 状 态 包 检测 和 实时 入 侵 检测 组 
成 分 层 防 护 体 系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 , 最 大 限度 地 体 护 服务 器 的 敏感 内 容 ， 
既 可 以 软件 形式 能 入 到 应 用 程序 对 操作 系统 的 调用 当中 , 通过 拦截 针对 操作 系统 的 可 疑 调用 ， 提 
供 对 主机 的 安全 防护 ; 也 可 以 更 改 操 作 系统 内 核 程 序 的 方式 ， 提 供 比 操作 系统 更 加 严谨 的 安全 控 
rl p rl « 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 , 它 不 但 能 够 利用 特征 和 行为 规则 检测 ， 阻止 诸如 
绥 冲 区 洲 出 之 类 的 已 知 攻击 ， 还 能 够 防范 未 知 攻击 ， 防 止 针 对 Web 页 面 、 应 用 和 资源 的 未 授权 
的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 占 操 作 系 统 平台 紧密 相关 ， 不 同 的 平台 需要 不 同 的 软 
件 代理 程序 。 
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2. 基于 网 络 的 入 侵 防护 (NIPS) 


NIPS (Network IPS) 通过 检测 流 经 的 网 络 流量 ， 提 供 对 网 络 系 统 的 安全 保护 。 由 于 它 采 用 
在 线 连 接 方 式 ， 所 以 一 旦 辨识 出 入 侵 行 为 ，NIPS 就 可 以 去 除 整 个 网 络 会 话 ， 而 不 仅仅 是 复位 会 
话 。 同 样 由 于 实时 在 线 ，NIPS 需要 具备 很 蝇 的 性 能 ， 以 免 成 为 网 络 的 瓶 贷 ， 因 此 NIPS 通常 被 设 
计 成 类 似 于 交换 机 的 网 络 设 备 ， 提 供 线 速 否 吐 速率 以 及 多 个 网 络 问 口 。 

NIPS 必须 基于 特定 的 便 件 平台 ， 才 能 实现 干 兆 级 网 络 流量 的 深 展 数据 包 检 测 和 阻 断 功能 。 
这 种 特定 的 人 硬件 平台 通常 可 以 分 为 三 类 : 一 是 网 络 处 理 器 (网 络 心 片 ) ， 二 是 专用 的 FPGA 编程 
心 上 请 ， 三 是 专用 的 ASIC 心 

在 技术 上 ，NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技 术 ， 包 括 特征 匹配 、 协 议 分 析 和 异常 检测 。 
特征 匹配 是 最 广泛 应 用 的 技术 ， 有 共有 准确 率 高 、 速 度 快 的 特点 。 基 于 状态 的 特征 匹配 不 但 检测 攻 
击 行为 的 特征 ， 还 要 检查 当前 网 络 的 会 话 状 态 ， 避 人 免 受 到 欺骗 攻击 。 

协议 分 析 是 一 种 较 新 的 入 侵 检 测 技术 , 它 充 分 利用 网 络 协议 的 高 度 有 序 性 ,并 结合 高 速 数据 
包 捕 所 和 协议 分 析 ， 来 快速 检测 茶 种 攻击 特征 。 协 议 分 析 正 在 逐渐 进入 成 熟 应 用 阶段 。 协 议 分 析 
能 够 理解 不 同 协议 的 工作 原理 ， 以 此 分 析 这 些 协 议 的 数据 包 ， 来 寻找 可 疑 或 不 正常 的 访问 行为 。 
协议 分 析 不 仅仅 基于 协议 标准 〈 如 RFO ， 还 基于 协议 的 具体 实现 ， 这 是 因为 很 多 协议 的 实现 侦 
离 了 协议 标准 。 通 过 协议 分 析 ，IPS 能 够 针对 插入 〈Insertion ) 与 规避 (Evasion). 攻击 进行 检测 。 
异常 检测 的 误 报 率 比 较 高 ，NIPS 不 将 其 作为 主要 技术 。 


3. 应 用 入 侵 防 护 (AIP，) 


NIPS 产品 有 一 个 特例 ， 即 应 用 入 侵 防 护 CApplication Intrusion Prevention, AIP) ， 它 把 基 
于 主机 的 入 侵 防 护 扩 展 成 位 于 应 用 服务 器 之 前 的 网 络 设备 。AIP 被 设计 成 一 种 高 性 能 的 设备 ， 配 
置 在 应 用 数据 的 网 络 链 路 上 ， 以 确保 用 户 遵守 设 定好 的 安全 策略 ， 保 护 服 务 器 的 安全 。NIPS 工 
作 在 网 络 上 ， 有 直接 对 数据 包 进 行 检测 和 阻 上 新 ， 与 具体 的 主机 /服务 器 操作 系统 平台 无 天 。 

NIPS 的 实时 检测 与 阻 断 功 能 很 有 可 能 出 现在 未 来 的 交换 机 上 。 随 看 处 理 占 性 能 的 提 闹 ， 
一 层次 的 交换 机 都 有 可 能 集成 入 侵 防 护 功 能 。 


EJ 网 关 级 防护 : UTM 


随 看 技术 的 快速 发 展 ， 安 全 方面 出 现 了 许多 新 的 问题 ，(D 新 攻击 已 逃避 了 传统 的 安全 技术 ， 
防 病毒 系统 只 扫描 有 限 数量 的 协议 , 例如 邮件 协议 CSMTP、POP3、IMAP) 、Web 协议 (HTTP)、 
文件 传输 协议 FTP) ， 新 攻击 采用 防 病毒 系统 未 扫描 的 协议 ， 例 如 RPC, TFTP, SQL 55. (2 
入 侵 防 御 系 统 〈Intrusion Prevention Systems) 需要 手动 方式 更 新 ， 但 新 漏洞 攻击 传播 很 快 ， 即 称 
N "EH" (Czero-day) È “NiF” (Czero-hour) 的 攻击 ， 手 动 方式 更 新 IPS 配置 太 慢 。@@) 混 
合 攻 击 方式 大 量 涌现 ， 单 一 功能 的 防火 场 远 不 能 满足 业务 的 需要 。 网 攻击 层面 已 经 从 传统 的 网 络 
层 数 据 攻击 升级 到 多 层次 协议 的 复合 型 攻击 。 这 些 都 极 大 增加 了 安全 维护 成 本 , 用户 的 安全 需求 
在 从 安全 产品 同上 整体 解 决 方案 转移 ， 在 边界 阻挡 威胁 十 分 关键 ， 因 此 UTM 应 运 而 生 。 

UTM 是 英文 Unified Threat Management HJ, 即 统一 威胁 省 理 。 它 最 早 由 Fortinet C KES) 
公司 在 2002 年 提出 的 。2004 年 9 H, IDC 国际 数据 公司 ) 在 31840 号 报告 中 提出 这 个 信息 安 
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UTM 是 集 网 络 防火 墙 、IDS/IPS 〈 入 侵 检 测 /防御 / 阻 断 ) 、 网 关 防 病毒 、VPN、Web/E-mail 
内 容 过 滤 、 防 垃圾 邮件 、 防 内 外 网 拒绝 服务 攻击 Dos) 、 访 问 控制 、 访 问 跟 踪 、NAT、 内 网 监 
控 ( 网 址 过 滤 ) 、 防 间谍 软件 功 
能 、 安 全 审计 功能 、 数 据 中 心 功 
能 、AAA 认证 、 电 子 证 书 及 密 铀 
管理 等 为 一 体 的 All-In-One 安全 
网 关 ， 如 图 2-10 所 示 。 这 样 不 需 
部 署 多 种 安全 设备 ， 只 需 一 台 设 














备 全 面 保护 网 络 安全 。 P o e " 
通过 UTM 平台 综合 功能 图 图 2-10 UTM 平台 的 综合 功能 








示 我 们 不 难看 出 ，IDSVIPS 功能 引擎 是 其 中 的 核心 功能 部 件 ， 而 网 络 寞 第 检测 拉 术 则 是 该 部 件 的 
核心 技术 。 从 技术 的 角度 上 讲 ，IDS/IPS 功能 引擎 中 应 注重 解决 下 面 三 个 问题 。 

(1) 尽 可 能 地 减少 对 网 络 性 能 的 影响 。IDS/IPS 功能 引擎 入 侵 防 御 系 统 在 计算 量 上 被 认为 达 
PAE KA 8 一 10 倍 ， 如 何在 大 流量 和 大 计算 量 下 保证 吞吐 量 达到 线 速 ， 延 迟 时 间 在 
可 接受 范围 ， 对 便 件 设计 和 软件 算法 是 极 大 挑战 。 

(20 对 网 络 资源 进行 有 针对 性 的 防护 ， 减 少 误 报 率 ， 降 低 误 报 对 正名 网 络 应 用 的 影响 。 入 侵 
检测 解决 廊 采 应 该 提供 对 攻击 的 实时 预防 和 分 析 ， 在 不 同 的 应 用 环境 下 ， 能够 有 效 进行 针对 当 击 
网 络 资源 的 特定 防护 ， 并 采用 创新 性 的 方法 ， 降 低 当前 的 误 报 率 。 

(30 对 新 型 攻击 的 目 动 免 疫 力 。 随 看 “网 络 钓 乌 ”、“ 伪 性 网 络 ”、 蜂 虫 、 病 毒 等 网 络 威胁 
及 其 种 闫 索 多 的 变种 的 出 现 ， 光 菲 不 断 扩 充 、 完 善 漏洞 库 和 特征 库 的 方式 来 进行 检测 和 防御 很 难 
跟 上 墨客 的 攻击 步伐 ， 目 前 市 场 上 迫切 需要 基于 行为 检测 技术 、 对 未 知 攻击 具有 较 强 检 训 性 能 和 
免疫 力 的 产品 ， 那 么 以 网 络 卉 第 检测 技术 为 核心 的 产品 目 然 现成 为 其 首选 。 





















































EUM Web 应 用 综合 防护 : WAF 


WAF (Web Application Firewall) B] Web BJ; KIS C Wi, 
2-11) ， 主 要 是 针对 Web 特有 入 侵 方 式 的 加 强 防护 ， 
如 DDoS 防护 、SQL 注入 、XML 注入 、XSS 等 。 由 于 是 
应 用 层 而 非 网 络 层 的 入 侵 ， 从 技术 角度 应 该 称 为 Web 
IPS， 而 不 是 Web 防火 墙 。 这 里 之 所 以 叫做 Web 防火 墙 ， | 
是 因为 大 家 比较 好 理解 业界 流行 的 称呼 而 已 。 由 于 重点 。 Eee Web Application 
是 防 SQL 注入 ， 也 有 人 称 为 SQL 防火 墙 。 

Web 防火 墙 产品 部 署 在 Web 服务 器 的 前 面 , 串 行 接 
N, 不 仅 在 硬件 性 能 上 要 求 高 , 而 且 不 能 影响 Web 服务 ， 
所 以 HA 功能 、Bypass 功能 都 是 必须 的 ， 而 且 还 要 与 负 
载 均衡 、Web Cache 等 Web 服务 右前 的 当 见 的 产品 协调 | 
BB o K| 2-11 WAF 
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Web 防火 墙 的 主要 技术 对 入 侵 的 检测 能 力 ， 尤 其 是 对 Web 服务 入 侵 的 检测 ， 不 同 的 厂家 技 
术 差 别 很 大 ， 不 能 以 厂家 特征 库 大 小 来 衡量 ， 主 要 是 看 测试 效果 ， 从 厂家 技术 特点 来 说 ， 有 下 面 
儿 种 方式 。 

a 代理 服务 。 代 理 方 式 本 身 就 是 一 种 安全 网 关 ， 基 于 会 话 的 双向 代理 ， 中 断 了 用 户 与 服 

务 器 的 直接 连接 ， 适 用 于 各 种 加 密 协 议 ， 这 也 是 Web 的 Cache 应 用 中 最 常用 的 技术 。 
代理 方式 防止 了 入 侵 者 的 直接 进入 ， 对 DDoS 攻击 可 以 抑制 ， 对 非 预料 的 “特别 ” 行 
为 也 有 所 抑制 。Netcontinuum RTE) 公司 的 WAF 不 是 这 种 技术 的 代表 。 

a ”特征 识别 。 识 别 出 入 侵 者 是 防护 的 前 提 。 特 征 就 是 攻击 者 的 “指纹 ”， 如 缓冲 区 溢出 
时 的 Shellcode, SQL 注入 中 常见 的 “ 真 表达 (1=1) ”……… 应 用 信息 没有 “标准 ”， 但 
每 个 软件 、 行 为 都 有 和 目 己 的 特有 属性 ， 病 毒 与 蠕虫 的 识别 束 采 用 此 方式 ， 犬 烦 的 就 是 
每 种 攻击 都 有 目 己 的 特征 ， 数 量 比较 庞大 ， 也 极 相似 ， 误 报 的 可 能 性 也 大 。 虽 然 目 前 
恶意 代码 的 特征 以 指数 型 增长 ， 安 全 界 声言 要 淘汰 此 项 技术 ， 但 目前 应 用 层 的 识别 还 
没有 特别 好 的 方式 。 

a 算法 识别 。 特 征 识别 有 缺点 ， 人 们 在 寻求 新 的 方式 。 对 攻击 类 型 进行 归 类 ， 相 同类 的 
特征 进行 模式 化 ， 不 再 是 单个 特征 的 比较 ， 算 法 识别 有 些 类 似 模式 识别 ， 但 对 攻击 方 
式 依赖 性 很 强 ， 如 SQL 注入 、DDoS、XSS 等 都 开发 了 相应 的 识别 算法 。 算 法 识别 是 进 
行 语义 理解 ， 而 不 是 靠 “ 长 相 ” 识 别 。 

a AMM. E&E DS 中 “古老 ”的 技术 ， 把 攻击 行为 归纳 成 一 定 模式 ， 匹 配 后 能 确定 
是 入 侵 行为 ， 当 然 模式 的 定义 有 很 深 的 学 问 ， 各 厂家 都 隐秘 为 “专利 ”。 协 议 模 式 是 
其 中 简 捍 的 ， 是 按 标 准 协 议 的 规程 来 定义 模式 ; 行为 模式 就 复杂 一 些 。 

Web 防火 墙 最 大 的 挑战 是 识别 床 ， 这 并 不 是 一 个 容易 测量 的 指标 ， 因 为 源 网 进去 的 入 侵 者 ， 

并 非 都 大 肆 张 扬 ， 比 如 给 网 页 挂 马 ， 你 很 难 察 觉 进来 的 是 哪 一 个 ， 不 知道 当然 也 无 法 统计 。 对 于 
己 知 的 攻击 方式 ， 可 以 谈 识别 率 ; 对 未 知 的 攻击 方式 ， 你 也 只 好 等 它 自 己 “ 跳 ”出 来 才 知 道 。 

Imperva 公司 的 WAF 产品 在 提供 入 侵 防 护 的 同时 ， 还 提供 了 另外 一 个 安全 防护 技术 ， 就 是 
对 Web 应 用 网 页 的 自动 学 习 功 能 ， 由 于 不 同 的 网 站 不 可 能 一 样 ， 所 以 网 站 自身 页 面 的 特性 没有 
办 法 提前 定义 ， 所 以 Imperva 采用 设备 自动 预 学 习 方 式 ， 从 而 总 结 出 本 网 站 的 页 面 的 特点 。 有 其 体 
的 做 法 如 下 。 

通过 一 段 时 间 的 用 户 访 问 , WAF 记录 了 常用 网 页 的 访问 模式 ,如 一 个 网 页 中 有 儿 个 输入 点 ， 
输入 的 是 什么 类 型 的 内 容 , 通常 情况 的 长 度 是 多 少 …… 学 习 完 毕 后 , 定义 出 一 个 网 页 的 正常 使 用 
模式 ， 当 今后 有 用 户 突破 了 这 个 模式 ， 如 一 般 的 账号 输入 不 应 该 有 特殊 字符 ， 而 XML 注入 时 需 
要 有 “< ”之 类 的 语言 标记 ，WAEF 束 会 根据 你 预先 定义 的 方式 预 霹 或 阻 断 ， 再 如 密码 长 度 一 般 不 
超过 20 位 ， 在 SQL 注入 时 加 入 代码 会 很 长 ， 同 样 突破 了 网 页 访问 的 模式 。 

网 页 目 学 习 技术 ， 是 从 Web 服务 自身 的 业务 特定 角度 入 手 ， 不 符合 常规 就 是 弄 党 的 ， 也 是 
入 侵 检 测 技术 的 一 种 ， 比 起 单纯 的 Web HKR, MEAZA TAAS”, m HEZEA 
自家 的 内 部 “规矩 ”， 这 种 双 回 的 控制 ， 显 然 比 单 癌 的 要 好 。 

Citrix 公司 收购 了 Teros 后 ,推出 的 应 用 防火 墙 通过 分 析 双 问 流 量 来 学 习 Web 服务 的 用 户 行 
为 模式 ， 建立 了 奉 干 用 户 行为 模型 ， 一旦 匹配 上 你 是 某 个 行为 ， 束 按 该 模式 行为 去 衡量 你 的 行为 
做 法 ， 有 “越轨 ”企图 立即 给 予 阻 断 。 这 个 目 适 应 学 习 引 擎 与 Imperva 公司 的 网 页 目 学 习 有 些 类 
似 ， 不 过 一 个 是 重点 学 习 网 页 特点 ， 另 一 个 是 学 习 用 户 访问 的 规律 。 
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数据 防护 : 数据 加 密 及 备份 


2.7.4 ”加密 技 术 的 基本 概念 


数据 加 密 〈encryption) 是 各 类 
言 恩 安全 技术 的 基础 。 数 据 加 密 过 
程 可 以 简单 概括 成 : 把 数据 A 表达 
成 B; 而 反 加 密 过 程 〈 和 破译 或 解密 ，。 95x 
decryption) 是 : 把 数据 B 恢复 成 A， 
如 图 2-12 所 示 。 

数据 加 密 的 术语 有 : 

(1) 明文 (plain text/clear text) ， 指 原始 的 或 未 加 密 的 数据 ; 

(2) 密 文 (cipher text) ， 指 明文 加 密 后 的 格式 ， 是 加 密 算法 的 输出 信息 ， 无 密 铀 的 用 户 无 
法 理解 ， 用 于 数据 的 存储 以 及 传输 ; 

(3) 49] Cey) 是 一 组 编码 信息 ， 参 与 密 公 的 运算 ， 对 密码 运算 起 到 特定 的 控制 作用 ， 密 
钥 又 可 以 进一步 分 为 加 密 密 钥 (encryption key) 和 解密 密 钥 (decryption key) 。 


2.7.2 加密 系统 的 分 类 
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图 2-12 ”加 解密 技术 原理 示意 图 
































1. 对 称 加 密 系统 


对 称 加 密 是 指 : 加 密 和 解密 时 使 用 相同 
的 密 钥 。 如 图 2-13, 在 对 称 密 钥 密码 体制 中 ， 
用 于 加 密 的 密 钥 与 用 于 解密 的 密 钥 完 全 相 
同 。 在 对 称 密 钥 体制 中 ， 通 常 使 用 的 加 和 密 算 
法 比较 人 简便、 高效 ， 密 钥 人 简短， 破译 也 比较 
困难 。 但 是 传送 和 保管 密 钥 是 一 个 十 分 严峻 
的 问题 。 

对 称 加 密 体制 存在 看 以 下 两 个 主要 
问题 。 

a 对称 加 密 方法 的 主要 问题 是 密 钥 的 生成 、 注 入 、 存 储 、 管 理 、 分 发 等 很 复杂 ， 特 别 是 

随 看 用 户 的 增加 ， 密 钥 的 需求 量 成 倍增 加 。 在 网 络 通 信 中 ， 大 量 密 钥 的 分 配 古 一 个 难 
以 解决 的 问题 。 这 种 对 称 密 钥 体 制 中 ， 加 和 密 与 解密 使 用 的 是 相同 的 密 钥 ， 收 发 双方 都 
必须 知道 该 密 钥 。 因 此 ， 他 们 必须 事先 通过 某 种 秘密 途径 商定 密 钥 ， 如 果 没 有 事先 约 
定 密 铀 ， 则 不 可 能 与 他 人 通信 。 另 外 ， 对 于 一 个 完备 的 通信 网 ， 需 要 的 密码 数量 非常 
大 ， 网 上 知 有 na 个 用 户 ， 则 需要 的 密 钥 数 为 C (n 2) =n(n-1)/2 个 ， 如 n=1000 时 ， 所 需 
的 密 钥 数 C (1000, 2) 约 499 500 个 。 这 么 多 密 钥 的 管理 和 必需 的 更 换 都 将 是 十 分 繁重 的 
TH. 更 有 其 者 ,每 个 用 户 必须 记 下 与 其 他 n-1 个 用 户 通 信 所 用 的 密 钥 。 虽然 以 上 问题 
都 可 以 通过 设置 一 个 可 信 的 集中 的 KDC (Key Distribution Center, 密 钥 分 配 中 心 ) 来 














图 2-13 ”对称 加 密 算 法 模型 
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解决 ， 但 KDC 所 需要 的 通信 量 很 大 ， 而 且 需 要 在 用 户 和 KDC 之 间 相 互 鉴别 。 因 此 ， 
有 关 密 钥 的 分 配 、 安 全 传达 、 保 密 等 管理 是 一 件 相当 困难 的 事情 。 

a 数据 的 完整 性 保护 方面 的 困难 ， 不 具备 签名 功能 。 在 现实 生活 中 ， 合 同和 协议 的 其 实 
性 是 由 书面 签字 来 保证 的 ， 签 字 可 以 作为 法 律 上 的 证 据 。 但 是 在 电子 通信 中 要 用 技术 
手段 来 解决 证 实 问题 。 一 方面 是 指 对 接收 方 的 证 实 ， 万 一 方面 是 指 对 发 送 方 的 证 实 ， 
也 融 是 能 够 确认 接收 方 所 收 到 和 保存 的 信息 确实 是 由 发 送 方 发 出 的 ， 不 是 伪造 的 ， 也 
没有 经 过 任何 人 《包括 接收 方 在 内 ) 的 车 改 。 在 对 称 密码 体制 中 ， 接 收 方 利用 保密 密 
钥 对 密 文 信息 进行 解密 变换 ， 能 对 发 送 方 进行 证 实 ， 其 他 人 不 能 够 伪造 发 送 方 的 信息 。 
但 是 对 称 密码 却 无 法 解决 对 接收 方 的 证 实 问 题 。 因 为 接收 方 所 向 握 的 解 宅 密 钥 和 友 送 
方 的 加 密 密 钥 相同 ， 完 全 有 能力 短 改 他 接受 到 的 文件 或 伪 霹 文件， 也 丈 是 说 ， 接 收 方 
可 以 伪造 一 份 对 他 有 利 的 明文 ， 用 同样 的 密 钥 加 窗 ， 然 后 诬陷 说 这 份 仿 寺 的 明文 来 目 
发 送 方 。 基 于 同样 的 理由 发 送 方 完全 有 借口 否定 他 曾 发 出 的 明文 ， 因 为 接收 方 有 可 能 
算 改 明文 。 因 此 ， 对 称 加 窗 体 制 在 数学 签名 和 吴 份 验证 方面 的 应 用 显然 是 比较 困难 的 。 

2. 非 对 称 加 密 系 统 


非 对 称 加 密 是 指 : 加密 和 解密 
使 用 不 同 的 密 钥 。 与 对 称 加 密 算法 不 
同 ， 非 对 称 加 密 算法 需要 两 个 密 钥 : 
公开 密 钥 (public key) MMA% 4] T 
(private key) 。 公 开 密 钥 与 私有 密 铀 ue P ih 
是 一 对 ,如 果 用 公开 密 钥 对 数据 进行 E 2 


加 密 ,只 有 用 对 应 的 私有 密 钥 才能 解 E. @| = HE 
密 ; 如 条 用 私有 密 钥 对 数据 进行 加 à à) 
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密 , 那么 只 有 用 对 应 的 公开 密 钥 才能 otro Paeqpiaaaleontm Decryption algorithm — eem 
Pa 、 "n a . I (e.g., RSA) (reverse of encryption t 

解密 。 因 为 加 密 和 解密 使 用 的 是 两 个 Rol Alice 


不 同 的 密 钥 ,所 以 这 种 算法 叫做 非 对 
称 加 密 算 法 ， 如 图 2-14 所 示 。 图 2-14” 非 对 称 加 密 过 程 示 例 

非 对 称 加 蜜 算法 实现 机 蜜 信息 交换 的 基本 过 程 是 : 甲 方 生成 一 对 密 钥 并 将 其 中 的 一 把 作为 公 
FS RI EZ AT: 得 到 该 公用 密 钥 的 乙方 使 用 该 黎 钥 对 机 冤 信 息 进 行 加 密 后 再 发 送 给 甲 方 ; 
甲 方 再 用 日 己 保存 的 男 一 把 私有 和 密 钥 对 加 和 密 后 的 信息 进行 解密 。 反 之 亦 然 。 非 对 称 加 密 算法 的 保 
密 性 比较 好 ， 它 消除 了 最 终 用 户 交 换 密 钥 的 需要 ， 但 加 密 和 解密 花费 时 间 长 、 速 上 度 慢 ， 其 不 适合 
于 对 文件 加 和 密 而 只 适用 于 对 少量 数据 进行 加 窒 。 

非 对 称 加 冠 算 法 中 的 加 密 密 钥 和 人 解密 密 钥 是 不 一 样 的 。 要 找到 一 种 非 对 称 加 密 算 法 是 一 件 很 
困难 的 事 , Ron Rivest, Adi Shamir 和 Leonard Adleman 终于 在 1978 年 提出 了 RSA 公开 密 钥 算法 ， 


















































假如 你 的 朋友 需要 发 送 一 些 非 第 重要、 非常 机 密 的 信息 给 你 ,而 你 跟 外 界 的 每 一 条 通路 部 被 
监听 了 。 有 人 认为 ， 你 的 朋友 可 以 用 DES 对 称 加 各 算法 对 信息 加 密 后 传送 给 你 ， 可 古 密 钥 也 古 
需要 传送 的 ,一旦 密 钥 补 截获， 后 末 可 想 而 知 。 如 果 说 经 第 跟 你 通信 的 朋友 还 可 以 事先 跟 你 约定 
好 密 铀 ， 那 么 在 海潮 的 Internet. 上 那么 多 人 和 机 构 是 没有 办 法 跟 你 事先 融 约 定好 的 。 
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非 对 称 加 密 系 统 〈 也 就 是 公开 密 钥 系统 ) 的 作用 就 在 于 ,此 时 , 你 可 以 先 将 公 钥 (加密 密 钥 ) 
发 布 在 一 个 可 徘 的 第 三 方 网 站 上 ,让 你 的 朋友 获得 这 个 公 钥 ,然后 用 此 公 饥 对 信息 加 和 密 后 传送 给 
你 ， 你 再 用 解密 密 钥 ( 私 钥 ) 恢复 信息 的 明文 进行 阅读 ， 在 这 个 过 程 中 私 钥 〈 解 密 密 铀 ) 不 会 以 
任何 形式 传送 ， 只 向 握 在 你 的 手中 ， 也 就 是 说 你 的 朋友 对 信息 加 密 后 ， 他 目 己 也 没 办 法 再 解 开 进 
行 验 证 。 监 昕 者 得 到 了 加 和 密 密 钥 ， 却 无 法 得 出 解密 密 钥 ， 也 就 无 法 但 看 信息 的 明文 。 

3. A Hash 算法 


Hash 算法 特别 的 地 方 在 于 它 是 一 种 单 问 算法 , 用 户 可 以 通过 Hash 算法 对 目标 信息 生成 一 段 
特定 长 度 的 唯一 的 Hash 值 ， 却 不 能 通过 这 个 Hash 值 重 新 获得 目标 信息 。 因 此 Hash 算法 常用 在 
不 可 还 原 的 密码 存储 、 信 息 完 整 性 校 验 等 。 和 常见 的 Hash 算法 有 MD2、MD4、MDS、HAVAL、 
SHA。 


2.3 ”常用 的 加 密 算法 












































1. 对 称 加 密 算 法 : DES 算法 


DES 是 Data Encryption Standard CAI REED 的 缩写 ， 是 由 IBM 公司 研制 的 一 种 加 密 
算法 ， 属 于 秘密 密 钥 算法 ， 同 时 也 是 一 种 对 称 密 钥 算 法 ， 即 加 密 和 解密 采用 同 种 算法 ， 密 钥 是 同 
一 把 , 接收 方 和 发 送 方 都 执 有 相同 的 密 钥 。DES 算法 采用 专门 的 变换 函数 来 加 密 明 文 。 方 法 是 先 
把 明文 授 每 组 长 64 位 分 成 看 干 组 ， 然 后 用 变换 函数 依次 加 密 ， 每 次 输出 64 位 的 密 文 ， 最 后 将 所 
有 密 文 串 接 即 得 整个 密 文 。 密 钥 长 度 为 56 位 〈 每 个 第 8 BEBE TERNI). ， 可 以 是 任意 56 位 
的 数 ， 且 可 以 在 任意 时 候 改 变 。DES 的 安全 性 完全 依赖 于 对 密 钥 的 保护 《〈 故 称 秘 客 密 钥 算法 ) ， 
浊 漏 蜜 钥 意 味 看 任何 人 都 能 对 加 蜜 信息 进行 解 客 ， 因 此 , 在 公开 的 计算 机 网 络 上 安全 传送 和 保管 
密 钥 是 一 个 严峻 的 问题 。 但 DES 算法 运算 速度 快 、 稳 定 ， 适 合 对 大 量 数据 的 加 密 。 

2. 对 称 加 密 算 法 : 3DES 算法 


3DES CH[ Triple DES) 是 DES I] AES 过 湾 的 加 密 算 法 ， 它 使 用 3 条 不 同 的 64 位 的 密 钥 对 
数据 进行 三 次 加 密 。 它 是 DES 的 一 个 更 安全 的 变形 。 它 以 DES 为 基本 模块 ， 通 过 组 合 分 组 方法 
设计 出 分 组 加 密 算法 ， 比 起 最 初 的 DES、3DES 更 为 安全 。 

3. 非 对 称 加 密 算 法 : RSA 算法 


RSA 算法 于 1977 年 由 美国 厂 省 理工 学 院 (MIT) 的 Ronal Rivest, Adi Shamir 和 Len Adleman 3 
位 年 轻 教授 提出 ， 并 以 3 人 的 姓氏 命名 为 RSA。 该 算法 利用 数论 领域 的 一 个 事实 ， 即 把 两 个 大 
质数 相 乘 生成 1 个 合 数 是 件 十 分 容易 的 事情 , 但 要 把 1 个 合 数 分 解 为 两 个 质数 却 十 分 困难 。 目 前 
合 数 分 解 问 题 仍 然 是 数学 领域 尚未 解决 的 一 大 难题 ， 至 今 没 有 任何 高 效 的 分 解 方法 。 与 DES $ 
法 相 比 ，RSA 算法 其 有 明显 的 优越 性 ， 因 为 它 无 须 收 友 双方 同时 参与 加 密 过 程 ， 密 钥 以 成 对 方 
式 出 现 ， 一 把 保密 而 男 一 把 公开 〈 故 称 为 公开 密 钥 算法) 。 作 为 一 种 非 对称 密 钥 算 法 ，RSA 算 
法 的 加 密 数 据 的 密 铀 和 解 黎 数据 的 密 钥 不 同 ， 以 多 于 蜜 钥 的 安全 分 友 ， 返 合 于 在 电子 函件 系统 、 
数字 签名 等 的 加 密 。RSA 算法 的 缺点 是 运算 速度 太 慢 ， 比 DES 算法 悍 几 个 数量 级 ， 因 此 只 适合 
对 少量 关键 数据 的 加 密 。 
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4. 非 对 称 加 密 算 法 : DSA 算法 


Digital Signature Algorithm (DSA) 是 Schnorr 和 ElGamal 签名 算法 的 变种 ， 被 美国 NIST fF 
为 DSS (Digital Signature Standard) 。DSA 是 基于 整数 有 限 域 离 散 对 数 难 题 的 ， 其 安全 性 与 RSA 
相 比 差不多 。DSA 的 一 个 重要 特点 是 两 个 素数 公开 ， 这 样 ， 当 使 用 别人 的 p 和 q 时 ， 即 使 不 知 
道 私 钥 ， 你 也 能 确认 它们 是 否 是 随机 产生 的 ， 还 是 作 了 手脚 。RSA 算法 却 作 不 到 。 


5. 单 向 散 列 算法 : MD5 算法 

MD5 的 全 称 是 Message-Digest Algrithm5 (F 5 类 报 文摘 要 ) ， 于 20 世纪 90 年 代 初 由 MIT 
的 计算 机 科学 实验 室 和 RSADataSecurityInc 发 明 , £$ MD2. MD3 和 MD4 发 展 而 来 .MD5 用 Hash 
( 哈 希 ) 函数 来 加 密 明 文 ， 但 产生 的 密 文 无 法 恢复 成 明文 ， 是 一 种 单 癌 的 加 密 算 法 ， 因 此 不 能 用 于 
数据 的 保密 。 其 加 密 方法 是 先 把 明文 m 进行 Hash 运算 后 产生 一 小 段 固定 长 度 的 报 文摘 要 H m) ， 
并 将 其 附 在 明文 后 发 送 ， 接 收 方 收 到 后 也 用 MDS 算法 对 明文 m 进行 Hash 运算 ,得 到 H’” (m), 
WRH m) =H (m) ， 即 认为 报 文 是 对 方 发 送 的 ， 而 且 在 传输 过 程 中 没有 被 算 改 过 。 因 此 ， 使 
用 MDS 时 ， 明 文 是 不 加 密 的 ， 也 没有 加 密 的 必要 ， 因 为 明文 内 容 一 般 是 公告 信息 ， 使 用 MDS 的 
目的 仅 是 保证 公告 的 权威 性 ， 类 似 于 现实 生活 中 在 公告 文件 上 加 兰 公 章 。 基 于 上 述 特 点 ，MD5 算 
法 主要 用 于 防止 算 改 或 伪造 报 文 。 

6. 单 向 散 列 算法 : SHA1 算法 


SHA (Secure Hash Algorithm) : 可 以 对 任意 长 度 的 数据 运算 生成 一 个 160 位 的 数值 ; 在 1993 
年 ， 安 全 散 列 算法 (SHA) 由 美国 国家 标准 和 技术 协会 NIST) 提出 ， 并 作为 联邦 信息 处 理 标 
准 (FIPS PUB 180) 公布 ; 1995 Œ X Ili T — EVI x FIPS PUB 180-1, WKN SHA-1. 
SHA-1 是 基于 MD4 算法 的 ， 并 且 它 的 设计 在 很 大 程度 上 是 模仿 MD4 的 。 现 在 已 成 为 公认 的 最 
安全 的 散 列 算法 之 一 ， 并 被 广泛 使 用 。 


2.7.4 加 密 算 法 的 主要 应 用 场景 


随 看 密码 笠 商业 应 用 的 普及 ， 公 和 角 密码 学 受到 前 所 未 有 的 重视 。 除 传统 的 密码 应 用 系统 外 ， 
PKI (Public Key Infrastructure) 系统 以 非 对 称 公 钥 密 人 码 技 术 为 主 ， 提 供 加 密 、 签 名 、 认 证 、 密 针 
常理 、 分 配 等 功能 。 

n ”保密 通信 。 你 密 通 信和 是 密码 学 产生 的 动因 。 使 用 公 、 私 钥 密 码 体 制 进行 保 密 通 信 了 时 ， 

言 恩 接 收 者 只 有 知道 对 应 的 密 钥 才 可 以 解密 该 信息 。 

a 数字 签名 。 数 字 签 名 技术 可 以 代 奉 传统 的 手写 签名 ， 而 且 从 安全 的 角度 考虑 ， 数 字 签 
名 具有 很 好 的 防伪 造 功能 。 在 政府 机 关 、 军 事 领 域 、 了 商业 领域 有 广泛 的 应 用 环境 。 

a 秘密 共享 。 秘 密 共 享 技术 是 指 将 一 个 秘密 信息 利用 密码 技术 分 拆 成 n 个 称 为 共享 因子 
的 信息 ， 分 发 给 n 个 成 员 ， 上 只 有 K (kn 个 合法 成 员 的 共 圣 因子 才 可 以 恢复 该 秘密 信 
县 ， 其 中 任何 一 个 或 m mMk) 个 成 员 合作 都 不 知道 该 秘密 信息 。 利 用 秘密 共 宇 技术 
可 以 控制 任何 需要 多 个 人 共同 控制 的 秘密 信息 、 命 令 等 。 

a 认证 功能 。 在 公开 的 信道 上 进行 敏感 信息 的 传输 ， 采 用 签名 技术 实现 对 消息 的 真实 性 、 

完整 性 进行 验证 ， 通 过 验证 公 钥 证 书 实现 对 通信 主体 的 喘 份 验证 。 

 ” 密 钥 管理 。 密 钥 是 保密 系统 中 更 为 脆 轮 而 重要 的 环节 ， 公 和 钥 密 码 体制 是 解决 密 钥 管理 

工作 的 有 力 工具 ; 利用 公 饥 密码 体制 进行 密 钥 协商 和 产生 ， 保 密 通 信 双 方 不 宕 要 事先 
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共享 秘密 信息 ; 利用 公 铀 密码 体制 进行 密 钥 分 有 发、 你 护 、 密 铀 托管 、 密 钥 恢 复 等 。 
基于 公 钥 密码 体制 可 以 实现 以 上 通用 功能 以 外 , 还 可 以 设计 实现 以 下 的 系统 : 安全 电子 商务 
系统 、 电 子 现 金 系统 、 电 子 选举 系统 、 电 子 招 投标 系统 、 电 子 彩票 系统 等 。 


2.7.5 ”数据 备份 及 恢复 技术 


备份 不 仅 是 数据 的 保护 ,其 最 终 目的 是 为 了 在 系统 遇 到 人 为 或 自然 灾难 时 ,能 够 通过 备份 内 
容 对 系统 进行 有 效 的 灾难 恢复 。 备 份 不 仅 是 单纯 的 拷贝 , 管理 也 是 备份 重要 的 组 成 部 分 。 管理 包 
括 备 份 的 可 计划 性 、 磁带 机 的 自动 化 操作 、 历史 记录 的 保存 以 及 日 志 记 录 等 。 对 于 现代 企业 来 说 ， 
在 正常 运作 的 过 程 中 难免 出 现 如 下 几 种 情况 的 灾难 ， 需 要 针对 它们 进行 数据 的 备份 和 恢复 工作 。 

a ”计算 机 软 硬 件 故障 : 对 于 某 一 企业 ， 发 生 的 可 能 性 最 大 ， 也 最 频繁 ， 是 经 常 发 生 的 一 
类 故障 。 

a 人 为 操作 故障 : 对 管理 较 严 、 人 员 素 质 较 高 的 企业 ， 偶 尔 发生， 对 管理 松散 、 人 员 培 
训 不 足 的 企业 ， 会 经 常 发 生 。 

a 资源 不 足 引 起 的 计划 性 停机 : 对 于 某 一 企业 ， 随 着 业务 的 快速 增长 ， 平 均 每 年 均 会 发 
生 如 软 、 硬 件 升级 ， 系 统 资源 扩充 等 事件 ， 业 务 增长 越 快 的 企业 ， 发 生 亦 越 频 繁 。 

a ”自然 灾害 由 于 火灾 、 水 灾 、 地 震 、 和 雷击 等 自然 灾害 引起 的 企业 计算 资源 和 数据 的 毁 
灭 或 者 丢失 。 这 种 情况 对 于 任何 企业 来 说 都 是 不 可 避免 和 抗拒 的 ， 当 然 发 生 的 概率 相 
对 上 述 几 种 灾害 来 说 通常 比较 小 。 

根据 目前 的 应 用 情况 来 看 , 如 下 一 些 分 类 的 备份 方法 可 以 提供 给 企业 根据 不 同 的 应 用 情况 进 

行 选 用 。 

1) 备份 模式 

n ZEKA: 每 个 文件 都 是 由 不 同 的 逻辑 块 组 成 。 每 一 个 逻辑 的 文件 块 存储 在 连续 的 物 
理 磁 盘 块 上 ， 但 组 成 一 个 文件 的 不 同 逻 辑 块 极 有 可 能 存储 在 分 散 的 磁盘 块 上 。 备 份 软 
件 通常 既 可 以 进行 文件 操作 ， 又 可 以 对 磁盘 块 进 行 操作 。 基 于 文件 的 备份 系统 能 够 识 
别 文件 结构 ， 并 拷贝 所 有 的 文件 和 目录 到 备份 资源 上 。 这 样 的 系统 跨越 了 存储 在 每 个 
inode 上 的 指针 ， 可 顺序 地 读 取 每 个 文件 的 物理 块 ， 然 后 备份 软件 连续 地 将 文件 写 入 到 
备份 媒介 上 。 这 样 的 备份 使 得 每 个 单独 文件 的 恢复 变 得 很 快 ， 但 连续 的 存储 文件 会 使 
得 备份 速度 减 慢 ， 因 为 在 对 非 连续 存储 磁盘 上 的 文件 进行 备份 时 需要 额外 的 查找 操作 。 
这 些 额 外 的 操作 增加 了 磁盘 的 开销 ， 降 低 了 磁盘 的 吞吐 率 。 另 外 ， 对 于 文件 ， 即 使 一 
个 很 小 的 改变 ， 基 于 文件 的 逻辑 备份 也 需 将 整个 文件 备份 。 

a 物理 备份 : 系统 在 拷贝 磁盘 块 到 备份 媒介 上 时 忽略 文件 结构 ， 这 会 提高 备份 的 性 能 ， 
因为 备份 软件 在 执行 过 程 中 ， 花 费 在 搜索 操作 上 的 开销 很 少 。 但 这 种 方法 使 得 文件 的 
恢复 变 得 复杂 且 缓 慢 ， 因 为 文件 并 不 是 连续 地 存储 在 备份 媒介 上。 为 了 人 允许 文件 恢复 ， 
基于 设备 的 备份 必须 要 收集 文件 和 目录 是 如 何在 磁盘 上 组 织 信息 的 ， 才 能 使 备份 媒介 
上 的 物理 块 与 特定 的 文件 相关 联 。 因 而 ， 基 于 设备 的 备份 适合 于 指定 一 个 特定 的 文件 
系统 来 实现 ， 并 且 不 易 移 植 。 而 基于 文件 的 方案 则 更 易 移 植 ， 因 为 备份 文件 包含 的 是 
连续 文件 。 另 外 ， 基 于 设备 的 备份 方案 可 能 会 导致 数据 的 不 一 致 。 

2) 备份 策略 

sa 全 备份 : 这 种 备份 方式 很 直观 ， 容 易 被 人 理解 。 当 发 生 数 据 丢 失 的 灾难 时 ， 只 要 用 一 
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盘 人 磁带 〈( 即 灾难 发 生前 一 天 的 备份 磁带 ) ， 束 可 以 恢复 丢失 的 数据 。 但 也 存在 不 足 之 
处 : 首先 ， 每 天 都 对 系统 进行 完全 备份 ， 在 备份 数据 中 有 大 量 内 容 是 重复 的 ， 例 如 操 
作 系 统 与 应 用 程序 ， 这 些 重 复 的 数据 占用 了 大 量 的 磁 齐 空间 ， 意 味 看 增加 成 本 ; 另外 ， 
由 于 需要 备份 的 数据 量 相 当 大 ， 备 份 所 需 的 时 间 也 束 较 长 。 

a HERH: ARD ILE EH mee A. We wwe. Hume IRI. A 
点 在 于 当 发 生 灾 难 时 ， 人 恢复 数据 比较 麻烦 。 例 如 ， 知 系统 在 周 四 早晨 发 生 故 障 ， 那 么 
驶 需要 将 系统 恢复 到 周三 晚上 的 状态 。 管 理 员 需要 找 出 周一 的 完全 备份 磁带 进行 系统 
恢复 ， 再 找 出 周二 的 人 磁 之 来 恢复 星期 二 的 数据 ， 最 后 再 找 出 周三 的 人 磁 市 来 恢复 星期 三 
的 数据 。 在 这 种 备份 下 ， 各 人 磁带 间 的 关系 就 像 链 子 一 样 ， 其 中 任何 一 盘 位 带 出 了 问题 ， 
都 会 导致 整 条 链子 脱 下 。 

mn 天 分 备份 : 管理 员 先 在 周一 进行 一 次 系统 完全 备份 ， 然 后 在 接 下 来 的 几 天 里 ， 有 再 将 当 
天 所 有 与 星期 一 不 同 的 数据 备份 到 做 带 上 。 关 分 备份 无 须 每 天 都 做 系统 完全 备份 ， 备 
份 所 需 时 间 短 ， 节 省 人 磁带 空间 ， 灾 难 恢复 也 很 方便 。 系 统管 理 员 只 需 两 盘 人 磁带 ， 即 系 
统 全 备份 的 磁 市 与 发 生 灾 难 前 一 天 的 备份 磁 市 ， 吏 可 以 将 系统 完全 恢复 。 

3) 备份 服务 吉 在 备份 过 程 中 是 否 可 接收 用 户 啊 应 和 数据 更 新 角度 

a RRN: 冷 备 份 很 好 地 解决 了 在 备份 选择 进行 时 并 发 更 新 带 来 的 数据 不 一 致 性 问题 ， 
缺点 是 用 户 需要 等 竺 很 长 的 时 间 ， 服 务 堪 将 不 能 及 时 啊 应 用 户 的 需求 。 目 前 的 新 技术 
有 LAN-EFree、Server-Free 等 ， 这 种 方式 的 恢复 时 间 比 较 长 ， 但 投资 较 少 。 

a ARN: 由 于 是 同步 备份 ， 热 备份 资源 占用 比较 多 ， 投 资 较 大 ， 但 是 它 的 恢复 时 间 非 
第 短 。 在 热 备 份 中 有 一 个 很 大 的 问题 束 是 数据 的 有 效 性 和 完整 性 ， 如 末 备 份 过 程 中 产 
生 了 数据 不 一 致 性 的 问题 ， 会 导致 数据 的 不 可 用 。 解 决 此 问题 的 方法 是 对 于 一 些 总 是 
处 于 打开 状态 的 重要 数据 文件 ， 备 份 系统 可 以 采取 文件 的 单独 号/ 修改 特权 ， 保 证 在 该 
文件 备份 期 间 其 他 应 用 不 能 对 它 进 行 更 新 。 

4) 备份 地 点 

a ”远程 备份 : 在 本 地 将 关键 数据 备份 ， 然 后 送 到 弄 地 保存 ， 以 防止 企业 本 地 备份 的 数据 
在 灾难 中 也 遭 到 破坏 。 灾 难 发 生 后 ， 按 预定 数据 恢复 程序 恢复 系统 和 数据 。 这 种 方案 
可 以 采用 磁带 机 、 和 磁盘 阵列 等 存储 设备 进行 本 地 备份 ， 同 样 还 可 以 选择 伐 融 库 、 光 盘 
库 等 存储 设备 。 

a 本 地 备份 : 在 本 地 将 关键 数据 进行 备份 ， 然 后 进行 保存 ， 主 要 包括 本 地 双 机 备份 、 本 
地 局 域 网 备份 等 。 

5) 备份 介质 

a dU RED): 位 市 一 开始 就 是 储存 恢复 备 份 的 主要 介质 ， 随 者 容量 和 速度 的 不 汤 提 升 ， 
厂 市 可 以 让 用 户 以 较 低 的 成 本 存储 多 重 备 份 或 版 本 。 由 于 它 是 一 种 可 移动 式 的 介质 ， 
所 以 也 可 以 作为 和 远程 灾难 恢复 备份 用 途 。 磁 闪 备 份 最 大 的 挑战 是 ， 其 备份 质量 并 不 称 
定 。 在 操作 过 程 中 ， 有 可 能 数据 已 经 全 部 备份 成 功 ， 但 是 ， 却 很 难 验 证 磁 市 内 所 有 数 
据 是 否 展 可 恢复 。 劣 质 的 磁 市 会 令 恢复 操作 失败 ， 而 这 种 错误 用 户 通常 很 难 察觉 ， 直 
到 执行 恢复 操作 时 才 会 发 现 ， 但 那 时 已 经 来 不 及 了 。 当 备份 数据 量 非常 大 时 ， 价 格 优 
势 十 分 明显 。 

n HAR: 首先 ， 磁 盘 阵 列 不 需要 稳定 的 数据 流 ， 即 使 采用 只 存储 少量 数据 的 增 量 备 
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份 ， 也 没有 “ 摩 控 ” 效 应 。 其 次 ， 磁 盘 阵列 允许 管理 人 员 进 行 较 不 常 做 的 全 部 数据 备 
份 工 作 (Full Backup) )， 而 不 用 忍受 执行 速度 变 慢 的 后 果 或 增加 恢复 资料 时 损坏 的 风险 ， 
可 以 简化 及 加 快 整体 备份 的 速度 。 除 了 缩短 备份 时 间 外 ， 对 于 时 常 进 行 的 完整 备份 ， 
也 可 以 减少 恢复 时 所 需 的 磁带 数量 ， 简 化 恢复 过 程 。 以 磁带 备份 来 看 ， 恢 复 时 所 需 的 
磁带 数量 会 依 增 量 备份 的 次 数 而 增加 ， 而 磁盘 阵列 允许 管理 人 员 简 化 这 样 的 备份 过 程 。 
在 制作 远程 恢复 备份 时 ， 磁 盘 也 比较 容易 且 更 有 效 。 利 用 “磁盘 至 磁带 ”复制 数据 时 ， 
不 需要 同时 由 一 个 磁带 内 处 理 多 位 使 用 者 的 恢复 备份 ， 它 可 以 针对 每 位 使 用 者 直接 复 
PRERA, KEDE T REIFE DAIk, SARET” BHE ARET” a 
HAREA. SEERE “Mim aR” E, EERI h r A E IA 
带 ， 两 种 都 没有 办 法 再 做 其 他 的 备份 或 恢复 操作 。 相 反 的 ， 当 正在 复制 数据 到 磁带 时 ， 
倒 盘 允许 使 用 者 同时 存 取 数据 ， 接 受 备 份 及 恢复 操作 。 
灾难 恢复 措施 在 整个 备份 制度 中 占有 相当 重要 的 地 位 , 因为 它 关 系 到 系统 在 经 历 灾 难 后 能 否 
迅速 恢复 。 灾 难 恢复 操作 通常 可 以 分 为 两 类 : 第 一 类 是 全 盘 恢 复 ; 第 二 类 是 个 别 文件 恢复 。 还 有 
-种 值得 一 提 的 是 重 定 向 恢复 。 
a CARE: 全 盘 恢 复 一 般 应 用 在 服务 器 发 生意 外 灾难 导致 数据 全 部 丢失 、 系 统 朋 涡 或 
是 有 计划 的 系统 升级 、 系 统 重 组 等 ， 也 称 为 系统 恢复 。 
a ”个别 文件 恢复 : 由 于 操作 人 员 的 水 平 不 高 ， 个 别 文件 恢复 可 能 要 比 全 盘 恢 复 常见 得 多 ， 
利用 网 络 备份 系统 的 恢复 功能 ， 我 们 很 容易 恢复 受 损 的 个 别 文件 。 只 需 浏览 备份 数据 
库 或 目录 ， 找 到 该 文件 ， 触 动 恢复 功能 ， 软 件 将 自动 驱动 存储 设备 ， 加 载 相应 的 存储 
媒体 ， 然 后 恢复 指定 文件 。 
a 重 定 向 恢复 : 重 定 向 恢复 是 将 备份 的 文件 恢复 到 另 一 个 不 同 的 位 置 或 系统 上 去 ， 而 不 
是 进行 备份 操作 时 它们 当时 所 在 的 位 置 。 重 定向 恢复 可 以 是 整个 系统 恢复 ， 也 可 以 是 
个 别 文件 恢复 。 重 定向 恢复 时 需要 慎重 考虑 ， 要 确保 系统 或 文件 恢复 后 的 可 用 性 。 为 
了 防备 数据 丢失 ， 我 们 需要 做 好 详细 的 灾难 恢复 计划 ， 同 时 还 要 定期 进行 灾难 演练 。 
每 过 一 段 时 间 ， 应 进行 一 次 灾难 演习 。 可 以 利用 淘汰 的 机 器 或 多 余 的 硬盘 进行 灾难 模 
拟 ， 以 熟练 灾难 恢复 的 操作 过 程 ， 并 检验 所 生成 的 灾难 恢复 软盘 和 灾难 恢复 备份 是 否 
可 


BENE 远程 访问 安全 保障 : VPN 
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2.8.1 VPN 简介 


VPN zé3 X. Virtual Private Network 的 缩写 ， 中 文 译 为 虚拟 专用 网 ， 如 图 2-15 所 示 。VPN 是 
利用 公共 网 络 基 础 设施 ， 通 过 “隧道 ”技术 等 手段 达到 类 似 私 有 专 网 的 数据 安全 传输 。 我 们 通 锦 
将 VPN 当 作 WAN 解决 方案 。 但 它 也 可 以 简单 地 用 于 LAN, VPN 类 似 于 点 到 点 直接 拨号 连接 或 
租用 线路 连接 ， 尽 管 它 是 以 交换 和 路 由 的 方式 工作 。 可 以 说 ，VPN 是 Intranet (内 部 网 ) 在 公众 
网 络 上 的 延伸 ， 它 可 以 提供 与 专用 网 一 样 的 安全 性 、 可 管理 性 和 传输 性 能 ， 而 建设 、 运 转 和 维护 
网 络 的 工作 也 从 企业 内 部 的 IT 部 门 剥 离 出 来 ， 交 由 运营 商 来 负责 。VPN 是 建立 在 实际 网 络 (或 
物理 网 络 ) 基础 上 的 一 种 功能 性 网 络 ， 它 利用 公共 网 络 作为 企业 骨干 网 的 低 成 本 优势 ， 同 时 元 服 
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公共 网 络 缺 乏 傈 密 性 的 弱点 。 在 VPN 网 络 中 ， 位 于 公共 网 络 两 端的 网 络 在 公共 网 络 上 传输 信息 
时 ， 其 信息 都 是 经 过 安全 处 理 的 ， 可 以 保证 数据 的 完整 性 、 真 实 性 和 私有 性 。VPN 是 指 在 共用 
网 络 上 建立 专用 网 络 的 技术 ， 之 所 以 称 为 虚拟 网 主要 是 因为 整个 VPN. 网 络 的 任意 两 个 结 点 之 间 
的 连接 并 没有 传统 专 网 建设 所 需 的 点 到 点 的 物理 链 路 ,而 是 架构 在 公用 网 络 服务 商 ISP 所 提供 的 
网 络 平台 之 上 的 逻辑 网 络 。 用 户 的 数据 是 通过 ISP 在 公共 网 络 〈Internet) 中 建立 的 逻辑 隧道 
(Tunnel) ， 即 点 到 点 的 虚拟 专线 进行 传输 的 。 通 过 相应 的 加 密 和 认证 技术 来 保证 用 户 内 部 网 络 
数据 在 公 网 上 安全 传输 ， 从 而 TETE 
pcm 

























真正 实现 网 络 数据 的 专 有 性 。 
VPN 是 企业 网 在 因特网 等 公共 ACA c 


Ray 
TH f 





a mi^ 


网 络 上 的 延伸 ， 它 能 在 公共 网 Eu «m 
络 上 创建 一 个 安全 的 私有 连 | VE 


接 ， 因 此 使 公司 的 远程 用 户 、 NS BERAR Lo 
分 支 机 构 、 业 务 伙伴 等 与 公司 
的 企业 网 连接 起 来 ， 构 成 一 个 
扩展 的 企业 网 。 

虚拟 专用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙 伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 
的 安全 连接 ， 并 保证 数据 的 安全 传输 。 一 个 企业 的 虚拟 专用 网 解决 方案 将 大 幅度 地 减少 用 户 花费 
在 城 域 网 和 远程 网 络 连 接 上 的 费用 。 同 时 ， 这 将 简化 网 络 的 设计 和 管理 ， 加 速 连接 新 的 用 户 和 网 
站 。 男 外 ， 虚 拟 专 用 网 还 可 以 保护 现 有 的 网 络 投 资 。 随 看 用 户 的 商业 服务 不 断 发 展 ， 企 业 的 虚拟 
专用 网 解决 方案 可 以 使 用 户 将 精力 集中 到 自己 的 生意 上 , 而 不 是 网 络 上 。 虚 拟 专用 网 可 用 于 不 断 
增长 的 移动 用 户 的 全 球 因 特 网 接 入 ， 以 实现 安全 连接 ; 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 
专用 线路 ， 用 于 经 济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专用 网 。 

虚拟 专用 网 至 少 应 能 提供 以 下 功能 。 

a 加 密 数据 : 以 保证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

a ”信息 认证 和 身份 认证 : 保证 信息 的 完整 性 、 合 法 性 ， 并 能 鉴别 用 户 的 身份 。 

a ”提供 访问 控制 : 不 同 的 用 户 有 不 同 的 访问 权限 。 

VPN 具有 以 下 优点 。 

CIO 降低 成 本 : 企业 不 必 租 用 长 途 专线 建设 专 网 ， 无 有 顷 大 量 的 网 络 维护 人 员 和 议 备 投资 。 利 
用 现 有 的 公用 网 组 建 的 Intranet， 要 比 租 用 专线 或 铺设 专线 节省 开 文 ， 而 且 当 距离 越 远 时 节省 得 
越 多 。 例 如 ， 企 业 的 北京 与 纽约 分 部 之 间 的 连接 ， 不 太 可 能 自 铺 专线 ; 当 一 个 远程 用 户 在 纽约 想 
要 连接 到 北京 的 Intranet， 用 拨号 访问 时 ， 龙 的 是 国际 长 途 话 费 ; 而 使 用 VPN 技术 时 ， 只 需 在 纽 
约 和 北京 分 别 连接 到 当地 的 Internet 束 实 现 了 互联 ， 双 方 花 的 都 是 市 话费 。 

(20 容易 扩展 : 网 络 路 由 设备 配置 人 简单， 无 须 增 加 大多 的 设备 ， 省 时 省 钱 。 对 于 发 展 很 快 的 
企业 来 说 ，VPN 就 更 是 不 可 不 用 了 。 如 果 企 业 组 建 上 自己 的 专用 网 ， 在 扩展 网 络 分 文 时 ， 要 考虑 到 
网 络 的 容量 ， 架 设 新 链 路 ， 增 加 互联 设备 ， 升 级 设备 等 ， 而 实现 了 VPN 就 方便 多 了 ， 只 需 连 接 到 
公用 网 上 ， 对 狐 加 入 的 网 络 终 新 在 逻辑 上 进行 设置 即 可 ， 无 须 考虑 公 用 网 的 容量 、 设 备 问题 等 。 

(3) 完全 控制 主动 权 : VPN 上 的 设施 和 服务 完全 笃 握 在 企业 手中 。 例 如 ， 企 业 可 以 将 拨号 
访问 交 给 NSP 去 做 ， 而 由 自己 负责 用 户 的 查验 、 访 问 权 、 网 络 地 址 、 安 全 性 和 网 络 变化 管理 等 
重要 工作 。 








图 2-15 VPN 示意 
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2.8.2 VPN 的 分 类 











VPN 的 分 类 方式 比较 混乱 。 不 同 的 生产 三 家 在 销售 它们 的 VPN 产品 时 使 用 了 不 同 的 分 类 方 
式 ， 它 们 主要 是 从 产品 的 角度 来 划分 的 。 不 同 的 ISP. 在 开展 VPN 业务 时 也 推出 了 不 同 的 分 类 方 
式 ， 他 们 主要 是 从 业务 开展 的 角度 来 划分 的 。 而 用 户 往往 也 有 目 己 的 划分 方法 ， 主 要 是 根据 自己 
的 需求 来 进行 的 。 下 面 简单 介绍 从 不 同 角 度 对 VPN 的 分 类 。 

1. 按 接 入 方式 划分 

这 是 用 户 和 运营 商 最 关心 的 VPN 划分 方式 。 一 般 情 况 下 ， 用 户 可 能 是 专线 上 网 的 ， 也 可 能 
是 拨号 上 网 的 ， 这 要 根据 用 户 的 具体 情况 而 定 。 建 立 在 卫 网 上 的 VPN 也 就 对 应 的 有 两 种 接 入 方 
式 : 专线 接 入 方式 和 拨号 接 入 方式 。 

CD 专线 VPN: 它 是 为 已 经 通过 专线 接 入 ISP 边缘 路 由 器 的 用 户 提 供 的 VPN 解决 方案 。 这 
是 一 种 “永远 在 线 ” 的 VPN， 可 以 节省 传统 的 长 途 专线 费用 。 

(2) R VPN (又 称 VPDN) : 它 是 回 利 用 拨 写 PSTN 或 ISDN EA ISP BH]! EERI VPN 
业务 。 这 是 一 种 “ 按 需 连接 ”的 VPN， 可 以 节省 用 户 的 长 途 电话 费用 。 需 要 指出 的 是 ， 因 为 用 
户 一 般 是 漫游 用 户 ， 是 按 需 连接 的 ， 因 此 VPDN 通常 需要 做 身份 认证 (比如 利用 CHAP 和 
RADIUS) 。 


2. 按 协议 实现 类 型 划 


这 是 VPN J TAA ISP 最 为 关心 的 划分 方式 。 根 据 分 层 模 型 ，VPN 可 以 在 第 二 层 建立 ， 也 可 
以 在 第 三 层 建 立 (甚至 有 人 把 在 更 局 层 的 一 些 安全 协议 也 归 入 VPN 协议 ) 。 

CD 第 二 层 隧道 协议 : 包括 点 到 点 隧道 协议 (PPTP) 、 第 二 层 转 发 协议 (L2F) 、 第 二 层 隧 
道 协议 〈L2TP) 、 多 协议 标记 交换 (MPLS) 等 。 

(20 第 三 层 隧道 协议 : 包括 通用 路 由 封装 协议 CGREO . IP 安全 (IPSec) ， 这 是 目前 最 流 
行 的 两 种 三 层 协议 。 

第 二 层 和 第 三 层 隧 道 协 议 的 区 别 主 要 在 于 用 户 数据 在 网 络 协议 栈 的 第 几 层 被 封 闻 ， 其 中 
GRE. IPSec 和 MPLS 主要 用 于 实现 专线 VPN 业务 ，L2TP 主要 用 于 实现 拨号 VPN 业务 (但 也 
可 以 用 于 实现 专线 VPN 业务 ) ， 当 然 这 些 协 议 之 间 本 喘 不 是 冲突 的 ， 而 是 可 以 结合 使 用 的 。 


3. 按 VPN 的 发 起 方式 划分 


这 是 客户 和 IPS 最 为 关心 的 VPN 分 类 。VPN 业务 可 以 是 客户 独立 自主 实现 的 ， 也 可 以 是 由 
ISP 提供 的 。 

(1) 发 起 〈 也 称 基于 客户 的 ) : VPN 服务 提供 的 其 始点 和 终止 点 是 面 问 客户 的 ， 其 内 部 拉 
术 构 成 、 实 施 和 管理 对 VPN 客户 可 见 ， 需 要 客户 和 隧道 服务 器 (或 网 关 ) 方 安 闭 隧道 软件 。 客 
户 方 的 软件 发 起 隧道 ， 在 公司 隧道 服务 器 处 终止 隧道 ， 此 时 ISP 不 需要 做 支持 建立 隧道 的 任何 工 
作 。 经 过 对 用 户 喘 份 符 AD) 和 口令 的 验证 ， 客 户 方 和 隧道 服务 嚣 极 易 建立 隧道 。 双 方 也 可 以 用 
加 密 的 方式 通信 。 隧 道 一 经 建立 ， 用 户 就 会 感觉 到 ISP 不 再 参与 通信 。 

(2) 服务 器 发 起 (也 称 客户 透明 方式 或 基于 网 络 的 ) : 在 公司 中 心 部 门 或 ISP 处 (POP，Point 
of Presence) Z2 VPN 软件 ， 客 户 无 须 安装 任何 特殊 软件 。 主 要 为 ISP 提供 全 面 管理 的 VPN 服 
务 ， 服 务 提供 的 起 始点 和 终止 点 是 ISP 的 POP， 其 内 部 构成 、 实 施 和 管理 对 VPN 客户 完全 透明 。 
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在 上 面 介 绍 的 隧道 协议 中 ， 目 前 MPLS 只 能 用 于 服务 器 发 起 的 VPN 方式 。 
4. 按 VPN 的 服务 类 型 划分 


根据 服务 类 型 ，VPN 业务 大 致 分 为 三 类 : 接 入 VPN (Access VPN) 、 内 联网 VPN (Intranet 
VPN) 和 外 联网 VPN (Extranet VPN) 。 通 常情 况 下 内 联网 VPN 是 专线 VPN. 

d) 接 入 VPN。 这 是 企业 员工 或 企业 的 小 分 文 机 构 通 过 公 网 远程 访问 企业 内 部 网 络 的 VPN 
方式 。 远 程 用 户 一 般 是 一 台 计 算 机 ， 而 不 是 网 络 ， 因 此 组 成 的 VPN 是 一 种 主机 到 网 络 的 拓扑 模 
型 。 需 要 指出 的 是 ， 接 入 VPN 不 同 于 前 面 的 拨号 VPN， 这 是 一 个 容易 发 生 泥 清 的 地 方 ， 因 为 远 
程 接 入 可 以 是 专线 方式 接 入 的 ， 也 可 以 是 拨号 方式 接 入 的 。 

(2) 内 联网 VPN。 这 是 企业 的 总 部 与 分 文 机 构 之 间 通 过 公 网 构筑 的 虚拟 网 ， 这 是 一 种 网 络 
到 网 络 以 对 等 的 方式 连接 起 来 所 组 成 的 VPN。 

(3) 外 联网 VPN。 这 是 企业 在 发 生 收购 、 兼 并 或 企业 间 建 立 战略 联盟 后 ， 使 不 同 企业 间 通 
过 公 网 来 构筑 的 虚拟 网 。 这 是 一 种 网 络 到 网 络 以 不 对 等 的 方式 连接 起 来 所 组 成 的 VPN (主要 在 
安全 策略 上 有 所 不 同 》。。 


5. 按 承 载 主体 划分 


营运 VPN 业务 的 企业 既 可 以 自行 建设 他 们 的 VPN 网 络 ， 也 可 以 把 此 业务 外 包 给 VPN 商 。 
这 是 客户 和 ISP. 最 关心 的 问题 。 

(1) 自 建 VPN。 这 是 一 种 客户 发 起 的 VPN。 企业 在 缠 地 安装 VPN 的 客户 端 软件 ， 在 企业 网 
LAER VPN 网 关 软 件 , 完全 独立 于 运营 商 建 设 目 己 的 VPN 网 络 , 运 宫 丙 不 宕 要 做 任何 对 VPN 
的 文 持 工作 。 企 业 目 建 VPN 的 好 处 是 可 以 直接 控制 VPN 网 络 ， 与 运 宫 商 独 立 ， 并 且 VPN BA 
设备 也 是 独立 的 。 但 缺点 是 VPN 技术 非常 复杂 ， 这 样 组 建 的 VPN 成 本 很 高 ，QoS 也 很 难保 证 。 

(2) 外 包 VPN。 企 业 把 VPN 服务 外 包 给 运营 商 ， 运 营 商 根据 企业 的 要 求 规划 、 设 计 、 实 施 
和 运 维 客户 的 VPN 业务 。 企 业 可 以 因此 降低 组 建 和 运 维 VPN 的 费用 ,而 运营 商 也 可 以 因此 开拓 
新 的 IP 业务 增值 服务 市 场 ， 获 得 更 高 的 收益 ， 并 提高 客户 的 保持 力 和 忠诚 度 。 笔 者 将 目前 的 外 
包 VPN 划分 为 两 种 : 基于 网 络 的 VPN 和 基于 CE( 用 户 边 缘 设 备 ) 的 管理 型 VPNCManaged VPN). 
基于 网 络 的 VPN 通常 在 运营 商 网 络 的 呈现 点 (POP) 安装 电信 级 VPN 交换 设备 。 基 于 CE 的 管 
JEU VPN 业务 是 一 种 受信 的 第 三 方 负责 设计 企业 所 希望 的 VPN 解决 方案 , 并 代表 企业 进行 管理 ， 
所 使 用 的 安全 网 关 《〈 防 火 墙 、 路 由 器 等 ) 位 于 用 户 一 侧 。 

6. 按 VPN 业务 层次 模型 划分 


这 是 根据 ISP 回 用 户 提供 的 VPN 服务 工作 在 第 儿 层 来 划分 的 〈 注 意 不 是 根据 障 道 协议 工作 
在 哪 一 层 划分 的 ) 。 

(1) 拨号 VPN 业务 CVPDNO 。 这 是 第 一 种 划分 方式 中 的 VPDN (事实 上 是 按 接 入 方式 划 
分 的 ， 因 为 很 难 明 确 VPDN 究竟 属于 哪 一 层 ) 。 

(2) 虚拟 租用 线 CVLLO 。 这 是 对 传统 的 租用 线 业 务 的 仿真 ， 用 IP 网 络 对 租用 线 进行 模拟 ， 
而 从 两 端的 用 户 看 来 ， 这 样 一 条 虚拟 租用 线 每 价 于 过 去 的 租用 线 。 

(3) 虚拟 专用 路 由 网 (VPRN) 业务 。 这 是 对 第 三 层 卫 路 由 网 络 的 一 种 仿真 。 可 以 把 VPRN 
理解 成 第 三 层 VPN 技术 。 

(4) 虚拟 专用 局 域 网 段 CVPLSO 。 这 是 在 P 广域网 上 仿真 LAN 的 技术 。 可 以 把 VPLS 理 
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解 成 一 种 第 二 层 VPN 技术 。 


EIJ 身份 认证 技术 


号 份 认证 技术 是 在 计算 机 网 络 中 确认 操作 者 喘 份 的 过 程 而 产生 的 解决 方法 ,计算 机 网 络 世界 
中 一 切 信 息 包 括 用 户 的 喘 份 信息 都 是 用 一 组 特定 的 数据 来 表示 的 , 计算 机 只 能 识别 用 户 的 数字 号 
份 , 所 有 对 用 户 的 授权 也 是 针对 用 户 数 学 身份 的 授权 。 如 何 保 证 以 数字 喘 份 进行 操作 的 操作 者 就 
是 这 个 数字 身份 的 合法 拥有 者 ， 也 就 是 说 保证 操作 者 的 物理 身份 与 数字 号 份 相对 应 ， 喘 份 认证 技 
术 葡 是 为 了 解决 这 个 问题 ， 作 为 防护 网 络 资产 的 第 一 道 关 口 ， 续 份 认证 有 者 举足轻重 的 作用 。 

在 真实 世界 ， 对 用 户 的 喘 份 认证 基本 方法 可 以 分 为 以 下 三 种 。 

CIO 根据 你 所 知道 的 信息 来 证 明 你 的 喘 份 Cwhat you know， 你 知道 什么 ) 。 

(2) 根据 你 所 拥有 的 东西 来 证 明 你 的 身份 (what you have， 你 有 什么 ) 。 

(3) 直接 根据 独一无二 的 身体 特征 来 证 明 你 的 身份 (who you are， 你 是 谁 ) ， 比 如 指纹 、 面 
ARAS 

在 网 络 世界， 其 中 手段 与 真实 世界 中 一 致 ， 为 了 达到 更 高 的 身份 认证 安全 性 ， 某 些 场景 会 将 
En 3 种 挑选 2 种 混合 使 用 ， 即 所 谓 的 双 因 和 聂 认 证 。 

下 面 为 大 家 介绍 几 种 第 匈 的 认证 形式 。 


2.9.1 静态 密码 





















































用 户 的 密码 是 由 用 户 上 自己 设 定 的 。 在 网 络 登 录 时 输入 正人 确 的 密码 , ENLA AN EEEE E 
合法 用 户 。 实 际 上 ， 由 于 许多 用 户 为 了 防止 态 记 密码， 经 党 采用 诸如 生日 、 电 话 写 人 码 等 容易 被 猿 
测 的 字符 串 作 为 密码 ,或 者 把 密码 抄 在 纸 上 放 在 一 个 目 认 为 安全 的 地 方 ， 这 样 很 容易 造成 密 公 汇 
露 。 如 果 密 码 是 静态 的 数据 ， 在 验证 过 程 中 ,在 计算 机 内 存 中 和 传输 过 程 中 可 能 会 被 木马 程序 或 
网 络 截获 。 因 此 ， 静 态 密 码 机 制 无 论 是 使 用 还 是 部 署 都 非 营 简单 ， 但 从 安全 性 上 来 讲 ， 用 户 名 、 
密码 方式 是 一 种 不 安全 的 身份 认证 方式 。 它 利用 的 是 what you know 方法 。 


2.9.2 智能卡 (ICF) 


智能 卡 是 一 种 内 置 集 成 电路 的 蕊 厂 , 蕊 片 中 存 有 与 用 户 映 份 相 
天 的 数据 , 由 专门 的 厂商 通 过 专门 的 设备 生产 , 是 不 可 复制 的 便 件 ， 
如 图 2-16 所 示 。 智 能 卡 由 合法 用 户 随身 携带 ， 登 录 时 必须 将 智能 75 em " 
卡 插入 专用 的 读 卡 器 读 取 其 中 的 信息 ， 以 验证 用 户 的 映 份 。 Soe、 i 
智能 卡 认证 是 通过 智能 卡 便 件 不 可 复制 来 保证 用 户 喘 份 不 会 
伞 仿 骨 。 然 而 由 于 每 次 从 智能 卡 中 该 取 的 数据 是 毅 态 的 ， 通 过 内 存 pentit 
扫描 或 网 络 监 听 等 技术 还 是 很 容易 截取 到 用 户 的 身份 验证 信息 ， 图 2.16 ICE 
此 仍然 存在 安全 隐患 。 它 利用 的 是 what you have 方法 。 
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2.9.3 ”短信 密码 


短信 密码 以 手机 短信 形式 请 求 包含 6 位 随机 数 的 动态 密码 , 喘 份 认证 系统 以 短信 形式 发 送 随 
机 的 6 位 密码 到 客户 的 手机 上 上。 客户 在 登录 或 者 交易 认证 时 输入 此 动态 密码 ， 从 而 确保 系统 映 份 
认证 的 安全 性 。 它 利用 的 是 what you have 方法 。 

短信 密码 上 其 有 以 下 优点 。 

(1) 安全 性 

由 于 手机 与 客户 绑 定 比较 紧密 ,短信 和 密 公 的 生成 与 使 用 场景 是 物理 阳 绝 的 ， 因此 密码 在 通路 
上 被 截取 的 几率 降 全 最 低 。 

(20 ERIE 

只 要 会 接收 短信 即 可 使 用 ， 大 大 降低 了 短信 密码 技术 的 使 用 门槛 ， 学 习 成 本 几乎 为 堆 ， 所 以 
在 市 场 接受 度 上 面 不 会 存在 阻力 。 

(3) Ac 

由 于 移动 互联 网 用 户 天 然 养 成 了 付费 的 习惯 ， 这 和 PC 时 代 互 联网 是 截然 不 同 的 理念 ， 而 且 
收费 通道 非常 发 达 ， 如 果 是 网 银 、 第 三 方 文 付 、 电 子 商务 可 将 短信 密码 作为 一 项 增值 业务 ， 每 月 
通过 SP 收费 不 会 有 阻力 ， 因 此 也 可 增加 收益 。 

(4) 易 维 护 

由 于 短信 网 关 撤 术 非 第 成 熟 , 大 大 降低 了 短信 和 冤 但 系统 上 马 的 复杂 上 度 和 风险 , 短信 黎 码 业务 
后 期 客服 成 本 低 ， 稳 定 的 系统 在 提升 安全 的 同时 也 营造 了 恨 好 的 口碑 效应 ， 这 也 是 目前 银行 大 量 
采纳 这 项 技术 很 重要 的 原因 。 


2.9.4 ”动态 口令 有 牌 
























































目前 最 为 安全 的 吴 份 认证 方式 ， 也 利用 what you have 77 
法 ， 是 一 种 动态 密码 。 

动态 口令 有 牌 ( 见 图 2-17) 是 客户 手持 用 来 生成 动态 密码 的 
终 曾 ， 主 流 的 是 基于 时 间 同 步 方式 的 ， 每 60 秒 变 换 一 次 动态 
口令 ， 口 令 一 次 有 效 ， 它 产生 6 位 动态 数字 进行 一 次 一 密 的 方 
式 认 证 。 

由 于 它 使 用 起 来 非常 便捷 ，85% 以 上 的 世界 500 强 企业 运用 它 保护 登录 安全 ， 广 泛 应 用 在 
VPN、 网 上 银行 、 电 子 政务 、 电 子 商 务 等 领域 。 


2.9.5 USB Key 














图 2-17 动态 口令 牌 











基于 USB. Key 的 身份 认证 方式 是 近 几 年 发 展 起 来 的 一 种 方 
便 、 安 全 的 身份 认证 技术 。 它 采用 软 硬 件 相 结合 、 一 次 一 密 的 强 
双 因子 认证 模式 ， 很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 
USB Key ( 见 图 2-18) 是 一 种 USB 接口 的 硬件 设备 ， 它 内 置 单 片 
机 或 智能 卡 芯片 ， 可 以 存储 用 户 的 密 钥 或 数字 证 书 ， 利 用 USB 
Key 内 置 的 密码 算法 实现 对 用 户 身份 的 认证 ,基于 USB Key 身份 A c 
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认证 系统 主要 有 两 种 应 用 模式 : 一 是 基于 冲击 /响应 的 认证 模式 ， 二 是 基于 PKI 体系 的 认证 模式 ， 
目前 运用 在 电子 政务 、 网 上 银行 等 。 


2.9.6 ”生物 识别 技术 


生物 识别 是 运用 who you are 方法 ， 通 过 可 测量 的 吴 体 或 行为 等 生物 特征 进行 号 份 认 证 的 一 
种 技术 。 生 物 特 征 是 指 唯一 的 可 以 测量 或 可 目 动 识别 和 验证 的 生理 特征 或 行为 方式 。 生 物 特 征 分 
为 身体 特征 和 行为 特征 两 类 。 吴 体 特征 包括 : REX. SETS. SUPER. WDER. AAR, H8. F 
的 血管 和 DNA 等 ; 行为 特征 包括 : 签名 、 语 音 、 行 走 步 态 等 。 目 前 部 分 学 者 将 视网膜 识别 、 是 
膜 误 别 和 指纹 识别 等 归 为 蝇 级 生物 识别 技术 ; 将 党 型 识别 、 脸 型 识别 、 语 音 识 别 和 签名 识别 等 归 
为 次 级 生物 识别 技术 ; 将 血管 纹理 识别 、 人 体 气 味 识别 、DNA 识别 等 归 为 “深奥 的 ”生物 识别 
技术 ， 指 纹 识别 技术 目前 应 用 广泛 的 领域 有 门禁 系 统 、 微 型 文 付 等 。 


2.9.7 ” 双 因 素 身份 认证 


所 谓 双 因素 就 是 将 两 种 认证 方法 结合 起 来 , 进一步 加 强 认 证 的 安全 性 , 目前 使 用 最 为 广泛 的 
NARA: 

a 动态 口令 牌 + 静态 密码 ; 

= USB Key+ 静态 密码 ; 

a ”二 层 前 态 密码 等 。 





























E emm. 信息 安全 标准 化 组 织 及 标准 


2.10.1 国际 信息 安全 标准 概览 


国际 上 信息 安全 标准 化 工作 兴起 于 20 世纪 70 年 代 中 期 ，80 年 代 有 了 较 快 的 发 展 ，90 
年 代 引 起 了 世界 各 国 的 普遍 关注 。 目 前 世界 上 有 近 300 个 国际 和 区 域 性 组 织 制定 标准 或 技术 规 
则 。 与 信息 安全 标准 化 有 关 的 组 织 主 要 有 以 下 4 个 。 

a ISO (国际 标准 化 组 织 ) 。ISO/EC JTC1 (信息 技术 标准 化 委员 会 ) 所 属 SC27 (安全 

技术 分 委员 会 ) 的 前 身 是 SC20〔( 数 据 加 密 技 术 分 委员 会 ) ， 主 要 从 事 信 息 技 术 安 全 的 

- 般 方 法 和 技术 的 标准 化 工作 。 而 ISO/TC68 负责 银行 业务 应 用 范围 内 有 关 信息 安全 标 
准 的 制定 ， 主 要 制定 行业 应 用 标准 ,与 SC27 有 着 密切 的 联系 。ISO/IEC JTC1 负责 制定 
的 标准 主要 是 开放 系统 互 连 、 密 钥 管 理 、 数 字 签 名 、 安 全 评估 等 方面 的 内 容 。 

a IEC《〈 国 际 电 工 委 员 会) IEC 在 信息 安全 标准 化 方面 除了 与 ISO 联合 成 立 了 JTC1 下 
分 委员 会 外 ， 还 在 电信 、 电 子 系 统 、 信 息 搁 术 和 电磁 莱 容 等 方面 成 并 技术 委员 会 《如 
TC56 可 靠 性 、TC74 IT 设备 安全 和 功效 、TC77 电磁 兼容 、TC 108 音频 /视频 、 信 息 技 
本 和 通信 技术 电子 设备 的 安全 等 ) ， 并 且 制 定 相 关 国 际 标准 〈 如 信息 技术 设备 安全 
IEC60950 等 ) 。 

a ITU 《国际 电信 联盟 ) 。ITU SGI7 组 负责 研究 网 络 安全 标准 ， 包 括 通 信安 全 项 目 、 安 
全 架构 和 框架 、 计算 安 全 、 安 全 管理 、 用 于 安全 的 生物 测定 、 安 全 通信 服务 。 此 外 SG16 
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和 下 一 代 网 络 核 心 组 也 在 通信 安全 、H.323 网 络 安全 、 下 一 代 网 络 安全 等 标准 方面 进行 
研究 。 
a IETF (Internet 工程 任务 组 ) 等 。 IETF 标准 制定 的 具体 工作 由 各 个 工作 组 承担 。Internet 
工程 任务 组 分 成 8 个 工作 组 ， 分 别 负 责 Internet 路 由 、 传 输 、 应 用 等 8 个 领域 ， 其 著名 
的 IKE 和 IPSec 都 在 RFC 系列 之 中 ， 还 有 电子 邮件 、 网 络 认 证 和 密码 及 其 他 安全 协议 
标准 。 
当前 ， 国 际 上 知名 的 信息 安全 评估 标准 有 以 下 几 种 。 
D 可 信 的 计算 机 系统 安全 评估 标准 〈TCSEC， 从 桶 皮 书 到 彩虹 系列 ) 
TCSEC 是 由 美国 国防 部 于 1985 年 公布 的 ， 是 计算 机 系统 信息 安全 评估 的 第 一 个 正式 标准 。 
它 把 计算 机 系统 的 安全 分 为 4 类 、7 个 级 别 ， 对 用 户 登 录 、 授 权 管理 、 访 问 控制 、 审 计 跟 踪 、 隐 
向 通道 分 析 、 可 信 通 道 建立 、 安 全 检测 、 生 命 周 期 保障 、 文 档 写 作 、 用 户 指南 等 内 容 提 出 了 规范 
性 要 求 。 
2) 信息 技术 安全 评估 标准 (ITSEC， 欧 洲 白 皮 书 》 
ITSEC 是 由 法 、 英 、 荷 、 德 欧洲 四 国 于 20 世纪 90 年 代 初 联合 发 布 的 ， 它 提出 了 信息 安全 的 
机 密 性 、 完 整 性 、 可 用 性 的 安全 属性 。 机 密 性 就 是 保证 没有 经 过 授权 的 用 户 、 实 体 或 进程 无 法 包 
取信 息 ; 完整 性 就是 保证 没有 经 过 授权 的 用 户 不 能 改变 或 者 删除 信息 ， 从 而 信息 在 传送 的 过 程 中 
` 会 被 个 然 或 故意 人 破坏, 你 持 信 息 的 完整 、 统 一 ; 可 用 性 是 指 合法 用 户 的 正常 请 求 能 及 时 、 正 确 、 
安全 地 得 到 服务 或 回应 。ITSEC 把 可 信 计 算 机 的 概念 提高 到 可 信 信 息 技 术 的 高 度 上 来 认识 ， 对 国 
际 信息 安全 的 研究 、 实 施 产 生 了 深刻 的 影 啊 。 
3) 信息 技术 安全 评价 的 通用 标准 〈CC ) 
CC 是 由 美 、 加 、 英 、 法、 德 、 共 六 国 于 1996 年 联合 提出 的 ,并 逐渐 形成 国际 标准 ISO15408. 
该 标准 定义 了 评价 信息 技术 产品 和 系统 安全 性 的 基本 准则 , 提出 了 目前 国际 上 公认 的 表述 信息 技 
术 安 全 性 的 结构 , 即 把 安全 要 求 分 为 规范 产品 和 系统 安全 行为 的 功能 要 求 以 及 解决 如 何 正 确 有 效 
地 实施 这 些 功 能 的 保证 要 求 。CC 标准 是 第 一 个 信息 技术 安全 评价 国际 标准 ， 它 的 发 布 对 信息 安 
全 具有 重要 意义 ， 是 信息 技术 安全 评价 标准 以 及 信息 安全 技术 发 展 的 一 个 重要 里 程 碑 。 
4) ISO 13335 标准 
ISO 13335 首次 给 出 了 关于 IT 安全 的 保密 性 、 完 整 性 、 可 用 性 、 审 计 性 、 认 证 性 、 可 靠 性 6 
个 方面 的 含义 ， 并 提出 了 以 风险 为 核心 的 安全 模型 : 企业 的 资产 面临 很 多 威胁 〈 包 括 来 自 内 部 的 
威 肋 和 来 目 外 部 的 威胁 ) ; 威胁 利用 信息 系统 存在 的 各 种 漏洞 (如 : 物理 环境 、 网 络 服务 、 主 机 
系统 、 应 用 系统 、 相 关 人 员 、 安 全 策略 等 ) ， 对 信息 系统 进行 渗透 和 攻击 。 如 条 渗 透 和 攻击 成 功 ， 
将 导致 企业 资产 的 骏 露 ; 资产 的 暴露 (如 系统 高 级 管理 人 员 由 于 不 小 心 而 导致 重要 机 密 信 息 的 浊 
露 ) ， 会 对 资产 的 价值 产生 影响 《〈 包 括 直接 和 间接 的 影响 ) ; 风险 束 是 威胁 利用 漏洞 使 资产 暴 露 
而 产生 的 影响 的 大 小 ， 这 可 以 为 资产 的 重要 性 和 价值 所 决定 ; 对 企业 信息 系统 安全 风险 的 分 析 ， 
便 得 出 了 系统 的 防护 需求 ; 根据 防护 需求 的 不 同 制定 系统 的 安全 解决 方案 , 选择 适当 的 防护 措施 ， 
进而 降低 安全 风险 ， 并 抗击 威胁 。 该 模型 曾 述 了 信息 安全 评估 的 思路 ， 对 企业 的 信息 安全 评估 工 
作 上 共有 指导 意义 。 
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5) AS/NZS 4360:1999 

AS/NZS 4360:1999 是 澳大利亚 和 新 西 兰 联合 开 友 的 风险 管理 标准 ， 第 一 版 于 1995 年 发 布 。 
在 AS/NZS 4360:1999 中 ， 风 险 管 理 分 为 建立 环境 、 风 险 识别 、 风 险 分 析 、 风 险 评 价 、 风 险 处 置 、 
风险 监控 与 回顾 、 通 信和 咨询 七 个 步骤 。AS/NZS 4360:1999 是 风险 管理 的 通用 指南 ， 它 给 出 了 
一 整 依 风险 管理 的 流程 ,对 信息 安全 风险 评估 共有 指导 作用 。 有 目前 该 标准 已 广泛 应 用 于 新 南 威 尔 
士 洲 、 澳 大 利 亚 政府 、 英 联邦 卫生 组 织 等 机 构 。 

6) BS 7799 

BS 7799 是 英国 的 工业 、 政 府 和 商业 共同 需求 而 发 展 的 一 个 标准 ， 它 分 两 部 分 : 第 一 部 分 为 
“信息 安全 管理 事务 准则 ”; 第 二 部 分 为 “信息 安全 管理 系统 的 规范 ”。 有 目 表 此 标准 已 经 被 很 多 
国家 采用 ， 并 已 成 为 国际 标准 ISO 17799. BS 7799 包含 10 个 控制 大 项 、36 个 控制 目标 和 127 
个 控制 措施 。BS 7799/ISO 17799 主要 提供 了 有 效 地 实施 信息 系统 风险 管理 的 建议 ， 并 介绍 了 风 
伶 管理 的 方法 和 过 程 。 企 业 可 以 参照 该 标准 制定 出 自己 的 安全 策略 和 风险 评估 实施 步骤 。 

7) ISO/IEC 27001 

信息 安全 管理 实用 规则 ISO/TEC 27001 Hip er NRE BS 7799 标准 ， 该 标准 由 英国 标准 协 
4 (BSI) 于 1995 年 2 月 提出 ， 并 于 1995 年 5 月 修订 而 成 。199%9 年 BSI 重新 修改 了 该 标准 。BS 
7799 分 为 两 个 部 分 : BS 7799-1( 信 息 安 全 管理 实施 规则 ) 和 BS 7799-2 ME kl KEE ERIS IGI ) o 
第 一 部 分 对 信息 安全 管理 给 出 建议 ， 供 负责 在 其 组 织 司 动 、 实 施 或 维护 安全 的 人 员 使 用 ;第 二 部 
分 说 明了 建立 、 实 施 和 文件 化 信息 安全 管理 体系 SMS) 的 要 求 ， 规 定 了 根据 独立 组 织 的 需要 
应 实施 安全 控制 的 要 求 。2000 年 ， 国 际 标 准 化 组 织 〈ISO) 在 BS 7799-1 的 基础 上 制定 并 通过 了 
ISO 17799 标准 。.BS 7799-2 在 2002 年 也 由 BSI 进行 了 重新 修订 .ISO 组 织 在 2005 年 对 ISO 17799 
再 次 修订 ，BS 7799-2 也 于 2005 年 被 采用 为 ISO 27001:2005。 

ISO/IEC 17799-2000 (BS 7799-1) 对 信息 安全 管理 给 出 建议 ， 供 负责 在 其 组 织 月 动 、 实 施 或 
维护 安全 的 人 员 使 用 。 该 标准 为 开发 组 织 的 安全 标准 和 有 效 的 安全 管理 做 法 提供 公共 基础 ， 并 为 
组 织 之 间 的 交往 提供 信任 。 

标准 指出 “ 像 其 他 重要 业务 资产 一 样 ， 信 息 也 是 一 种 资产 ”。 它 对 一 个 组 织 具 有 价值 ， 因 此 
需要 加 以 合适 地 保护 。 信 息 安 全 防止 信息 受到 的 各 种 威胁 ， 以 确保 业务 的 连续 性 ， 使 业务 受到 损 
害 的 风险 减 至 最 小 ， 使 投资 回报 和 业务 机 会 最 大 。 

信息 安全 是 通过 实现 一 组 合适 控制 获得 的 。 控 制 可 以 是 策略 、 惯 例 、 规 程 、 组 织 结构 和 软件 
功能 。 需 要 建立 这 些 控制 ， 以 确保 满足 该 组 织 的 特定 安全 目标 。 

ISO/IEC 17799-2000 包 含 了 127 个 安全 控制 撞 施 来 帮助 组 织 识别 在 运 做 过 程 中 对 信息 安全 有 
影响 的 元 素 ， 组织 可 以 根据 适用 的 法 律 法 规 和 章程 加 以 选择 和 使 用 ,或 者 增加 其 他 附加 控制 。 
际 标准 化 组 织 (ISO) 在 2005 年 对 ISO 17799 进行 了 修订 ， 修 订 后 的 标准 作为 ISO 27000 标准 族 
的 第 一 部 分 一 一 ISO/IEC 27001， 新 标准 去 掉 9 点 控制 措施 ， 新 增 17 点 控制 措施 ， 并 重组 部 分 控 
制 措 施 而 新 增 一 章 ， 重 组 部 分 控制 措施 、 关 联 性 逻辑 性 更 好 ， 更 适合 应 用 ;并 修改 了 部 分 控制 措 
施 措辞 。 修 改 后 的 标准 包括 11 个 章节 。 

a ”安全 策略 

a ”信息 安全 的 组 织 

a ”资产 管理 

a ”人 力 资源 安全 
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= ”物理 和 环境 安全 

" ”通信 和 操作 管理 

a ”访问 控制 

s ”系统 采集 、 开 发 和 维护 

sa ”信息 安全 事故 管理 

s。 ”业务 连续 性 管理 

a ”符合 性 

ISO 27001:2005 系列 标准 主要 内 容 包 括 以 下 几 个 组 成 部 分 。 

a Chapter 0: 简介 ISO 27001 控制 目标 和 控制 措施 。 

= Chapter 1: 范围 安全 方针 。 

a  Chapter2: 强制 性 应 用 标准 安全 组 织 。 

a ”Chapter 3: 术语 和 定义 资产 分 类 与 控制 。 

a ”Chapter 4: 信息 安全 管理 体系 人 员 安 全 、 物 理 与 环境 安全 、 通 信和 与 运行 管理 系统 开发 与 
维护 。 

a ”Chapter 5: 管理 责任 、 访 问 控制 。 

»  Chapter6: SMS 内 部 审查 信息 安全 事件 管理 。 

= Chapter 7: ISMS 党 理 评 审 业 务 持 续 性 管理 。 

» Chapter 8: ISMS 改善 符合 性 。 


2.10.2 国内 信息 安全 标准 概览 


除 国 际 之 外 ， 国 内 方面 主要 是 等 同 采 用 国际 标准 。 公 安 部 主持 制定 、 国 家 质量 技术 监督 局 发 
布 的 中 华人 民 共 和 国 国家 标准 GB 17895 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 已 正式 
颁布 并 实施 。 该 准则 将 信息 系统 安全 分 为 5 个 等 级 : 自主 保护 级 、 系 统 审计 保护 级 、 安 全 标记 保护 
级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身份 认证 、 上 自主 访问 控制 、 数 据 完整 
性 、 审 计 每 ， 这 些 指 标 涵盖 了 不 同 级 别 的 安全 要 求 。GB 18336 也 是 等 同 采用 ISO 15408 标准 。 

国内 的 安全 标准 组 织 主 要 有 信息 技术 安全 标准 化 搁 术 委员 会 (CITS) 以 及 中 国 通 信 标 准 化 
协会 (CCSA) 下 辖 的 网 络 与 信息 安全 技术 工作 委员 会 。CITS WT 1984 年 ， 在 国家 标准 化 管 
理 委 员 会 和 信息 产业 部 的 共同 领导 下 负责 全 国信 息 技术 领域 以 及 与 ISO/TEC. JTC1 相对 应 的 标准 
化 工作 ， 目 前 下 设 24 个 分 技术 委员 会 和 特别 工作 组 ， 是 国内 最 大 的 标准 化 技术 委员 会 ， 也 是 具 
有 广泛 代表 性 、 权 威 性 和 和 军民 结合 的 信息 安全 标准 化 组 织 。CITS 主要 负责 信息 安全 的 通用 框架 、 
方法 、 技 术 和 机 制 的 标准 化 及 归口 国内 外 对 应 的 标准 化 工作 ， 其 中 技术 安全 包括 开放 式 安 全 体系 
结构 、 各 种 安全 信息 交换 的 语义 规则 、 有 关 的 应 用 程序 接口 和 协议 引用 安全 功能 的 接口 等 。CCSA 
成 立 于 2002 年 12 月 18 日 ， 是 国内 企 事业 单位 自愿 联合 组 织 起 来 经 业务 主管 部 门 批准 的 开展 通 
信 技 术 领 域 标准 化 活动 的 组 织 。CCSA 下 设 了 有 线 网 络 信息 安全 、 无 线 网 络 信息 安全 、 安 全 管理 
和 安全 基础 设施 4 个 工作 组 负责 研究 : 有线 网 络 中 电话 网 、 互 联网 、 传 输 网 、 接 入 网 等 在 内 所 有 
电信 网 络 相 关 的 安全 标准 ; 无 线 网 络 中 接 入 、 核 心 网、 业务 等 相关 的 安全 标准 以 及 安全 管理 工作 
组 ;安全 基础 设施 工作 组 中 网 管 安全 以 及 安全 基础 设施 相关 的 标准 。 

等 级 保护 有 以 下 三 大 项 内 容 。 

a 对 信息 和 信息 系统 分 等 级 进行 保护 ， 这 也 是 一 项 核心 工作 ， 也 是 最 重要 的 工作 。 
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a ”对 信息 系统 安全 专用 产品 分 等 级 进行 管理 ， 将 来 各 个 单位 使 用 的 安全 产品 应 该 是 分 等 
级 的 。 定 了 三 级 的 系统 不 能 使 用 二 级 以 下 的 安全 产品 。43 号 文 对 这 方面 已 经 做 了 一 些 
初步 的 规定 ， 但 是 详细 的 规定 现在 还 没有 正式 出 台 。 
a ”对 所 发 生 的 信息 安全 事件 分 等 级 进行 响应 和 处 置 。 
1) 信息 和 信息 系统 分 等 级 实行 安全 保护 
我 们 国家 把 信息 和 信息 系统 按照 重要 程度 ， 也 就 是 对 单位 的 利益 、 对 社会 公众 的 利益 、 对 国 
家 安全 的 影响 三 方面 要 素 的 重要 程度 来 确定 信息 系统 的 安全 等 级 。 这 个 等 级 一 共 分 为 五 级 。 第 一 
级 是 最 低 的 , 第 五 级 是 最 高 的 。 信息 安全 等 级 保护 制度 是 我 们 学 习 国外 的 先进 方法 , 美国 从 1983 
年 开始 美国 国防 部 出 台 了 村 皮 书 ， 权 皮 书 把 操作 系统 划分 为 四 类 八 个 等 级 。 应 该 说 ， 它 是 等 级 保 
护 的 先行 者 。 当 然 这 四 类 八 个 等 级 是 根据 技术 程度 所 采用 的 安全 机 制 多 和 少 、 强 和 弱 来 确定 的 。 
橘 皮 书 名 学 是 《可 信 计 算 机 系统 评测 准则 》。 我 们 国家 在 1994 年 出 台 了 国务 院 的 147 号 令 ，《 中 
华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 里 面 已 经 明确 规定 , 在 我 国 要 实行 信息 系统 的 等 级 
保护 制度 。 这 就 是 等 级 保护 的 由 来 。 这 项 工作 是 1994 年 提出 ， 到 2004 年 国务 院 的 四 大 部 委 ， 公 
安 部 、 国 家 保密 局 、 国 家 密码 局 、 前 国务 院 信 息 化 办 公 室 ， 联 合 下 了 66 号 文 ， 正 式 提 出 信息 安 
全 等 级 保护 要 在 我 国 开始 实施 。 当 时 ， 把 信息 安全 等 级 划分 了 五 个 等 级 ， 起 了 相应 的 名 字 : 
第 一 级 : 用 户 自主 保护 级 
第 二 级 : 指导 保护 级 
第 三 级 : 监督 保护 级 
第 四 级 : 强制 保护 级 
第 五 级 : 专 控 你 护 级 
2) 国家 对 信息 安全 产品 的 使 用 实行 分 等 级 管理 
按照 信息 安全 产品 的 使 用 要 根据 可 控 性 、 可 靠 性 、 安 全 性 和 可 监督 性 这 四 个 属性 确定 信息 系 
统 使 用 的 安全 产品 等 级 。 这 四 个 属性 在 正式 的 文件 里 没有 体现 ，43 号 文 里 没有 提 到 这 四 个 属性 。 
但 是 43 号 文 里 指出 信息 系统 安全 专用 产品 应 该 是 国内 生产 的 ， 源 代码 这 些 东西 应 该 是 国内 生产 
的 。43 号 文 里 只 是 束 安 全 性 这 个 角度 ， 给 出 了 你 使 用 安全 产品 必须 是 国产 这 样 一 个 要 求 ， 但 是 
还 没有 明确 这 个 信息 安全 产品 等 级 究竟 应 该 怎么 划分 。 

很 多 的 安全 厂商 都 说 用 户 问 到 , 我 买 了 你 的 安全 产品 是 不 是 达到 了 这 个 等 级 ? 你 的 安全 产品 
是 不 是 符合 这 样 的 等 级 ?我 给 他 们 的 回答 是 否定 的 。 是 否 符 合 等 级 要 看 产品 是 否 符合 国家 标准 ， 
如 果 符 合 了 标准 ， 那 就 符合 安全 等 级 ; 如 果 没 有 符合 标准 那 束 不 符合 安全 等 级 。 第 三 级 从 技术 的 
角度 应 该 对 应 着 标记 保护 级 ， 标记 保护 级 里 面 应 该 要 求实 行 最 小 授权 ,不 应 该 再 有 超级 管理 员 的 
身份 。 超级 管理 员 必 须 分 别 为 系统 管理 员 、 系 统 安全 员 和 审计 员 。 权限 低 的 人 的 活动 都 可 以 查询 。 
但 是 管理 员 本 人 做 的 坏事 ， 要 把 这 个 痕迹 都 探 挤 ， 这 个 问题 该 怎么 解决 ”对 于 三 级 以 上 的 信息 系 
统 ， 我 们 就 要 求 这 些 东西 是 不 能 探 掉 的 ， 至 少 审计 员 必 须 是 独立 出 来 的 。 目 前 我 们 的 安全 产品 虽 
然 也 设 了 审计 员 ， 但 是 超级 用 户 还 是 存在 的 ， 这 个 问题 就 没有 达到 标记 保护 级 的 要 求 。 这 是 一 个 
漫长 的 过 程 ， 昨 天 郭 处 长 也 在 讲 ， 从 现在 推动 ， 通 过 检查 、 测 评 、 整 改 ， 真 正 能 达到 初步 规范 ， 
他 的 预计 是 三 年 时 间 ， 我 考虑 对 各 大 部 委 来 说 三 年 的 时 间 可 能 会 实现 ， 就 全 国 来 说 ， 三 年 肯定 是 
不 够 的 。 而 且 我 们 的 安全 产品 提升 到 新 的 水 平 也 需要 过 程 。 

3) 信息 安全 事件 实行 分 等 级 啊 应 处 置 
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国家 已 经 把 信息 安全 事件 以 国标 的 形式 进行 了 分 类 和 分 等 级 。 这 些 分 类 和 分 等 级 依据 国标 ， 
对 不 同 的 信息 安全 事件 ， 由 监管 部 门 牵头 组 织 全 社会 的 应 急 啊 应 和 本 单位 的 应 急 响 应 相 结 合 ， 最 
大 限度 地 减轻 信息 安全 事件 造成 的 损失 。 

等 级 保护 的 法 律 依 据 及 技术 标准 : 人 民警 察 法 ， 计 算 机 信息 系统 安全 保护 条 例 ，43 号 文 ， 
言 县 安全 等 级 保护 管理 办 法 ， 等 级 保护 的 各 类 文件 ， 中 办 、 国 办 的 27 号 文 ，04 年 66 号 文 ，06 
ag. UIS e. 

等 级 保护 技术 标准 : 从 技术 的 角度 讲 必 须 依 据 国家 相应 的 安全 标准 。 实际 上 不 仅仅 是 在 技术 
方面 ， 在 管理 方面 ， 工 程 方面 都 应 该 按照 国家 的 标准 做 。 我 们 国家 出 台 的 第 一 个 关于 等 级 保护 的 
标准 是 1999 年 出 台 的 国标 17859， 这 个 标准 叫做 《计算 机 信息 系统 安全 等 级 划分 准则 》。 这 里 
面 把 信息 系统 按照 安全 机 制 的 多 与 少 ， 强 与 弱 也 划分 了 五 个 等 级 。 

第 一 级 : HP B SED 

第 二 级 : 系统 审计 保护 级 

第 三 级 : 安全 标记 保护 级 

第 四 级 : 结构 化 保护 级 

第 五 级 : 访问 验证 保护 级 

这 五 个 等 级 和 前 面 说 的 1、2、3、4、5 有 相同 的 地 方 ， 又 有 不 同 的 地 方 。 前 面 的 五 个 等 级 怎 
么 确定 ， 并 不 是 根据 采取 的 安全 机 制 的 多 少 和 强 弱 来 确定 等 级 ， 而 是 根据 信息 资产 的 重要 程度 来 
确定 安全 等 级 。 

安全 等 级 的 确定 基本 依据 是 数据 的 重要 程度 和 系统 的 服务 功能 的 重要 程度 , 由 这 两 个 重要 程 
度 决 定 信息 资产 应 该 具备 的 等 级 。 国家 已 经 出 台 了 一 个 天 于 定 级 的 指南 一 一 信息 系统 安全 你 护 定 
级 指南 ， 大 家 可 以 看 一 下 。 而 且 定 级 的 工作 ， 已 经 开始 ,第 一 期 的 定 级 工作 也 已 经 在 全 国 结束 了 ， 
当然 以 后 还 会 有 一 些 单 位 接 痢 定 级 , 来 做 这 些 工 作 。 第 一 期 最 重要 的 部 分 一 一 单位 定 级 已 经 问世 ， 
并 且 到 公安 部 门 已 经 备案 。 

17859 等 级 划分 准则 由 于 是 1999 年 出 台 的 ， 很 多 问题 没有 考虑 到 ， 这 个 标准 实际 等 于 是 桶 
皮 书 的 一 个 翻版 。 所 以 对 一 些 问题 考虑 得 还 不 够 完善 。 杜 皮 书 主要 是 从 信息 的 机 密 性 角度 给 出 了 
四 类 八 个 等 级 : D 类 (没有 任何 保护 的 ) 、C 类 (分 为 Cl 和 C2 级 )、B 类 (分 为 Bl、B2、B3)、 
A 类 和 超 A 类 。 

EB A 类 没有 描述 ，A 类 有 描述 但 是 实现 起 来 还 有 很 多 问题 ， 尤 其 是 在 我 国 。 我 国 制定 这 些 
标准 的 人 ， 把 橘 育 书 去 了 头 和 尾 ， 把 D 类 、A 类 和 超 A 类 去 挥 ， 只 留 下 B 类 和 C 类 ， 束 出 现 了 
前 面 说 的 这 五 个 等 级 。 第 一 级 和 第 二 级 是 Cl 级 和 C2 级 ， 第 三 级 、 第 四 级 、 第 五 级 对 应 的 是 B 
类 的 Bl. B2. B3. 我 们 比 梭 皮 书 有 一 点 很 重要 的 进步 就 是 提 到 了 完整 性 保护 的 问题 。 虽然 提 了 了 ， 
但 是 没有 细致 地 讲 这 个 完整 性 应 该 保护 到 什么 程度 ， 怎 么 保护 。 

由 于 17859 的 这 些 不 足 ，2002 年 公安 部 又 组 织 了 很 多 专家 起 草 了 公共 行业 安全 标准 一 一 387 
一 392。 这 个 标准 对 17859 做 了 一 个 很 好 的 说 明和 补充 。 这 条 标准 到 2006 年 , 被 提升 为 国家 标准 ， 
即 GB/T 20269 一 20273 标准 。 

第 十 二 条 在 信息 系统 建设 过 程 中 , 运营 、 使 用 单位 应 当 按 照 《 计 算 机 信息 系统 安全 保护 等 级 
划分 准则 》、《 信 息 系 统 安全 等 级 保护 基本 要 求 》 等 技术 标准 ， 参 照 之 前 的 一 些 标准 做 一 些 等 级 
保护 措施 。 第 十 三 条 提出 应 该 按照 这 些 标准 建设 安全 管理 制度 。 
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这 是 已 经 出 台 的 国家 等 级 你 护 体系 ， 有 一 些 产 品 的 标准 ， 事件 处 理 的 标准 ， 服 务 的 标准 。 这 
些 标 准 有 的 已 经 作为 国标 正式 发 布 ， 相 当 一 部 分 属于 报批 入 ， 没 有 完全 正式 及 布 。 

等 级 保护 的 开展 : 对 于 一 个 单位 来 说 融 是 五 大 步骤 ， 系 统 的 定 级 、 备 和 案 ， 这 一 个 阶段 束 全 国 
来 次 最 重要 的 部 分 已 经 完成 。 接 下 来 的 工作 是 要 做 安全 规划 和 设计 ,根据 安全 规划 设计 的 结 末 做 
安全 实施 ， 然 后 是 一 个 长 期 的 运行 维护 过 程 ， 最 后 是 系统 的 废止 。 
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凡事 预 则 立 ， 不 预 则 废 


《 礼 记 .中庸 》 一 书 中 有 这 样 一 句 话 : “凡事 预 则 立 ， 不 预 则 废 .” 意 思 是 说 ， 要 想 成 就 
Q 


任何 一 件 事 ， 必 须要 有 明确 的 目标 ， 认 真 的 准备 和 周密 的 安排 。 没 有 准备 的 育 目 行动 ， 只 能 
是 有 虽 忙 忙碌 碌 却 一 事 无 成 。 预 ， 就 是 准备 ， 是 努力 ， 是 奋斗 ， 是 实践 ， 是 付出 ; 立 ， 则 是 成 
功 。 有 了 精心 的 准备 ， 艰 车 的 努力 ， 不 懈 的 奋斗 ， 扎 实 的 实践 和 巨大 的 付出 ， 才 能 达到 成 
的 彼岸 。 所 以 说 ， 预 是 成 功 的 基础 ， 不 预 则 是 失败 的 根源 。 

企业 安全 建设 和 运 维 工 作 也 是 如 此 ， 需 要 从 软 硬 件 选 型 、 信 息 安 全 建设 的 范围 和 内 容 等 
方面 进行 整体 的 规划 。 





前 2 章 介 绍 了 当前 信息 安全 面临 的 现 
状 、 威 胁 和 业界 常用 的 一 些 技 术 ， 使 企业 的 
CTO, CIO 等 能 够 对 它们 有 充分 的 认识 和 和 警 
惕 ， 所 谓 “ 知 已 知 彼 ， 百 战 不 殉 ”。 但 是 ， 很 
多 人 都 会 有 这 么 一 个 疑问 ， 作 为 500 强 的 企 
业 来 说 ， 企 业 信 息 安 全 工作 如 何 展开 呢 ? 具 
体 到 企业 Linux. 安全 的 规划 和 运 维 又 包括 哪 
些 方面 呢 ? m ED UL HE THIS, 
觉 不 是 非常 详细 和 具有 指导 性 ， 那 么 笔者 将 
在 本 章 来 介绍 一 下 该 500 强 企业 的 信息 安全 
工作 的 工作 思路 ， 以 及 具体 的 Linux 安全 的 
实施 内 容 ， 解 除 大 家 的 疑惑 。 
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EYJ 信息 安全 的 本 质 


“信息 安全 ”曾经 仅 是 学 术 界 所 关心 的 术语 ， 如 像 是 五 、 六 十 年 前 “计算 机 ”被 称 为 “ 电 算 
机 ”那样 仅 被 学 术 界 所 了 解 一 样 。 现 在 ,， “信息 安全 ” 因 各 种 原因 已 经 像 公 众 词汇 那样 被 广大 公 
众 所 熟 知 ， 尺 害 疝 不 能 与 “计算 机 ”这 个 词汇 的 知名 厦 所 比拟 ,但 也 已 经 其 有 广 沁 的 普及 性 。 问 
是 的 关键 在 于 人 们 对 “计算 机 ”的 理解 不 会 有 什么 太 大 的 偏差 ， 而 对 “信息 安全 ”的 理解 则 往往 
各 却 各 样 。 种 种 偶 兰 主要 来 目 于 从 不 同 的 角度 来 看 信息 安全 ， 因 此 出 现 了 “计算 机 安全 ”、“ 网 
络 安全 ”、“ 信 息 内 容 安全 ”之 类 的 提 法 ， 也 出 现 了 “机 密 性 ”、“ 真 实 性 ”、 “完整 性 ”、“ 可 
用 性 ”、“ 不 可 否认 性 ”等 描述 方式 。 
关于 信息 安全 的 定义 ， 以 下 是 一 些 有 代表 性 的 定义 方式 。 
s 国内 学 者 给 出 的 定义 是 : “信息 安全 保密 内 容 分 为 : 实体 安全 、 运 行 安 全 、 数 据 安全 
和 管理 安全 四 个 方面 。” 

= ”我 国 计 算 机 信息 系统 安全 专用 产品 分 类 原则 给 出 的 定义 是 : “涉及 实体 安全 、 运行 安 
全 和 信息 安全 三 个 方面 。” 

= 我 国 相关 立法 给 出 的 定义 是 : “ 保 隐 计算 机 及 其 相关 的 和 配套 的 设备 、 设 施 《〈 网 络 ) 
的 安全 ， 运 行 环 境 的 安全 ， 保 障 信 息 安 全 ， 你 障 计算 机 功能 的 正常 发 挥 ， 以 维护 计算 
机 信息 系统 的 安全 ”。 这 里 面 涉及 了 物理 安全 、 运 行 安全 与 信息 安全 三 个 层面 。 

se。 国家 信息 安全 重点 实验 室 给 出 的 定义 是 : “信息 安全 涉及 到 信息 的 机 蜜 性、 完整 性 、 
可 用 性 、 可 控 性 。 绽 合 起 来 说 ， 台 是 要 保障 电子 信息 的 有 效 性 。” 

= 英国 BS7799 信息 安全 管理 标准 给 出 的 定义 是 : “信息 安全 是 使 信息 避免 一 系列 威胁 ， 
保障 商务 的 连续 性 ， 最 大 限度 地 减少 商务 的 损失 ， 最 大 限度 地 获取 投资 和 商务 的 回报 ， 
涉及 的 是 机 密 性 、 完 整 性 、 可 用 性 。” 
a 美国 国家 安全 局 信息 保障 主任 给 出 的 定义 是 : “因为 术语 “信息 安全 ”一 和 二 仅 表示 信 
县 的 机 蜜 性， 在 国防 部 我 们 用 “信息 保障 ”来 描述 信息 安全 ， 也 叫 “IA”。 它 包含 5 
种 安全 服务 ， 包 括 机 密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 不 可 抵赖 性 。” 

s 国际 标准 化 委员 会 给 出 的 定义 是 : “为 数据 处 理 系统 而 采取 的 技术 的 和 管理 的 安全 保 
P, 保护 计算 机 便 件 、 软 件 、 数 据 不 因 侦 然 的 或 恶意 的 原因 而 但 a 到 人 破坏、 更改 、 EET. 
这 里 面 既 包 含 了 层面 的 概念 ， 其 中 计算 机 硬件 可 以 看 作 是 物理 层面 ， 软 件 可 以 看 作 是 
运行 层面 ， 再 就 是 数据 层面 ， 义 包 人 台 了 属性 的 概念 ， 其 中 破坏 涉及 的 是 可 用 性 ， 更 改 
涉及 的 是 完整 性 ， 显 露 涉及 的 是 机 密 性 。 

纵 观 从 不 同 的 角度 对 信息 安全 的 不 同 描述 , 可 以 看 出 两 种 揪 述 风格 : 一 种 是 从 信息 安全 所 涉 
及 的 层面 的 角度 进行 描述 ， 大 体 上 涉及 了 实体 〈 物 理 ) 安全 、 运 行 安 全 、 数 据 〈 信 息 ) 安全 ; 一 
种 是 从 信息 安全 所 涉及 的 安全 属性 的 角度 进行 描述 ， 大 体 上 涉及 了 机 密 性 、 完 整 性 、 可 用 性 。 

宫 恩 安全 出 现 多 种 不 同 说 法 ,存在 看 多 种 观 岁 视角 ， 并 不 是 偶 然 的 现象 。 信 乱 安 全 的 太 展 历 
史 、 信 息 安全 的 作用 层面 、 信 息 安 全 的 基本 属性 ， 部 决定 了 信息 安全 的 不 同 内 润 。 

从 信息 安全 的 发 展 历史 来 看 ， 在 二 十 世纪 四 、 五 十 年 代 ， 人 们 认为 信息 安全 就 是 通信 保密 ， 
采用 的 保 隐 措施 就 是 加 密 和 基于 计算 机 规则 的 访问 控制 , 这 个 时 期 被 称 为 "通信 保密 (COMSEC )” 
ANS JE Ubi e 1949 年 Shannon 发 表 的 《你 密 通 信和 的 信息 理论 》; 在 七 十 年 代 ， 人 们 关心 










































































































































































第 3 章 
规划 :企业 信息 安全 工作 用 路 NENEEEEEEEN 


的 是 计算 机 系统 不 被 非 授 权 的 他 人 使 用 ， 这 时 学 术 界 称 之 为 “计算 机 安全 (ONFOSECO ”时 代 ， 
其 时 代 特 色 是 美国 八 十 年 代 初 发 布 的 杜 反 书 一 一 可 信 计 算 机 评估 准则 (TCSEC) ; 九 十 年 代 ， 人 
们 关心 的 是 如 何 防止 通过 网 络 对 联网 计算 机 进行 攻击 ， 这 时 和 学 术 界 称 之 为 “网 络 安全 
CNETSEC) ”， 其 时 代 特 征 是 美国 八 十 年 代 末 出 现 的 “更 里 斯 ” 蟾 虫 事 件 ， 进 入 了 二 十 一 世纪 ， 
人 们 关心 的 是 信息 及 信息 系统 的 保障 ， 如 何 建立 完整 的 保障 体系 ,以 便 保障 信息 及 信息 系统 的 正 
党 运行 ， 这 时 学 术 界 称 之 为 “信息 保障 AA) ”。 

从 信息 安全 的 作用 层面 来 看 ,人们 首先 关心 的 是 计算 机 与 网 络 的 设备 便 件 目 身 的 安全 ,就 是 
于 恩 系 统 便 件 的 称 定 性 运行 状态 ， 因 而 称 之 为 “物理 安全 ”; 其 次 人 们 关心 的 是 计算 机 与 网 络 设 
备 运 行 过 程 中 的 系统 安全 ， 融 是 信息 系统 软件 的 稳定 性 运行 状态 ， 因 而 称 乙 为 “运行 安全 ”; 当 


讨论 信息 自身 的 安全 问题 时 ， 涉 及 的 就 是 狭义 的 TEES 
onc M Ad | 数据 (信息 ) 安全 
信息 安全 ”问题 , 包括 对 信息 系统 中 所 加 工 存 储 、 

网 络 中 所 传递 的 数据 的 泄露 、 仿冒、 算 改 以 及 抵赖 运行 (系统 ) 安全 


过 程 所 涉及 的 安全 问题 ， 称 之 为 “数据 安全 ” i 物理 (实体 ) 安全 


此 , 就 信息 安全 作用 点 来 看 ,可 以 称 之 为 信息 安全 





















































的 层次 模型 ， 这 也 是 国内 学 者 普遍 认同 的 定义 方 图 3-1 一 种 信息 安全 的 层次 杞 性 
式 ， 如 图 3-1 所 示 。 
从 信息 安全 的 基本 属性 来 看 ， 机 密 性 就 是 对 抗 对 机 密 性 (C) 


手 的 被 动 攻 击 ， 保 证 信息 不 泄露 给 未 经 授权 的 人 ， 或 
者 即便 数据 被 截获 ， 其 所 表达 的 信息 也 不 个 非 授 权 者 
所 理解 。 完 整 性 就 是 对 抗 对 手 主 动 攻 击 ， 防 止 信息 说 
未 经 授权 者 算 改 。 可 用 性 就 是 确保 信息 及 信息 系统 能 
够 为 授权 使 用 者 所 正 篆 使用。 这 三 个 重要 的 基本 属性 
航 国 外 学 者 称 为 “信息 安全 金三角 ” CCA, 完整 性 CD 可 用 性 (CA) 
Confidentiality-Integrity-Avaliability) ， 如 图 3-2 所 示 。 














图 3-2 信息 安全 金三角 模型 


EPJ 信息 安全 概念 经 纬 线 : 从 层次 到 属性 











从 信息 安全 的 作用 层次 来 看 ， 前 面 已 经 介绍 了 人 们 所 关注 的 三 个 层面 ， 即 物理 安全 层 、 运 行 
安全 层 以 及 数据 安全 层 。 但 是 ， 还 有 两 个 层面 尚 没有 人 在 同一 个 框架 之 下 给 出 清晰 的 搬 述 。 一 个 
古 关 于 信息 内 容 的 安全 问题 , 一 个 是 关于 信息 对 抗 的 问题 ， 而 这 两 个 层面 的 安全 问题 也 是 业界 普 
过 关心 的 问题 。 所 不 同 的 是 ， 内 容 安全 更 被 文化 、 宣 传 界 人 士 所 关注 ; 而 信息 对 抗 则 更 被 电子 对 
抗 研究 领域 的 人 士 所 关注 。 

信息 内 容 安全 的 问题 已 经 深刻 地 展现 在 现实 社会 的 面前 , 主要 表现 在 有 害 信 息 利 用 互联 网 所 
提供 的 目 由 流动 的 环境 肆意 扩散 , 其 信息 内 容 或 者 像 脚 本 病毒 那样 给 接收 的 信息 系统 之 来 破坏 性 
的 后 果 ， 或 者 像 坪 圾 邮件 那样 给 和信 们 市 来 烦恼 ， 或 者 像 谣 言 那 样 给 社会 大 众 带 来 困惑 ， 从 而 成 为 
社会 不 稳定 因素 。 但 是 ， 残 技 术 层 和 面 而 言 ,信息 内 容 安全 技术 的 表现 形式 是 对 信息 流动 的 选择 控 
制 能 力 ， 换 句 话 说 ， 表 现 出 来 的 是 对 数据 流动 的 攻击 特性 。 

言 轧 对 抗 严 格 地 说 是 信息 误 略 范畴 的 内 容 , 是 讨论 如 何 从 多 个 角度 或 侧面 来 获得 信息 并 分 析 
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信息 ,或 者 在 信息 无 法 隐 税 的 醒 提 下 ， 通 过 增加 更 多 的 无 用 信息 来 扰乱 获取 者 的 视线 ， 以 掩藏 其 
实 信 息 所 有 反映 的 含义 。 从 本 质 上 来 看 , 信息 对 抗 是 在 信息 燃 的 保护 或 打击 层面 上 讨论 问题 ,也 束 
是 围绕 看 信息 的 利用 来 进行 对 岳 。 

从 信息 安全 的 属性 来 看 ， 除 了 前 和 面 所 介绍 的 机 密 性 、 完 整 性 、 可 用 性 每 三 个 基本 属性 之 外 ， 
还 有 更 多 的 一 些 属性 也 用 于 描述 信息 安全 的 不 同 特性 ， 如 真实 性 、 可 控 性 、 合 法 性 、 实 用 性 、 占 有 
性 、 唯 一 性 、 不 可 否认 性 、 可 追溯 性 、 生 存 性 、 稳 定性 、 可 靠 性 、 特 殊 性 等 。 其 中 ， 真 实 性 反映 的 
是 主体 身份 、 行 为 及 相关 信息 的 真实 有 效 ; 可 探 性 反映 的 是 信息 系统 不 会 被 非 授 权 使 用 , 信息 的 流 
动 可 以 被 选择 性 阻 断 ; 合法 性 反映 的 是 信息 或 信息 系统 的 行为 获得 了 授权 ; 实用 性 反映 的 是 信息 加 
密 蜜 钥 与 信息 的 强 关 联 性 及 蜜 钥 不 可 丢失 的 特性 ; 占有 性 反映 的 是 信息 载体 不 可 被 盗用 , 人 确保 由 合 
法 信息 所 占有 ; 唯一 性 反映 的 是 各 信息 以 及 信息 系统 行为 主体 之 间 不 会 出 现 混 消 ; 不 可 否认 性 反映 
的 是 所 生成 的 信息 或 信息 系统 的 合法 行为 不 会 被 抵赖 ; 可 进 济 性 反映 的 是 信息 系统 的 行为 具有 被 审 
计 的 能 力 ; 生存 性 反映 的 是 信息 系统 在 受到 攻击 时 可 以 通过 采取 降级 等 措施 以 保持 最 低 限度 的 核心 
服务 能 力 ; 稳定 性 反映 的 是 信息 系统 不 会 出 现 措 向 情况 ; 可 靠 性 反映 的 是 信息 系统 能 够 保持 正常 运 
行 而 不 受 外 界 影 响 的 能 力 ; 特殊 性 反映 的 是 信息 所 需要 表现 的 特定 的 内 泣 。 

基于 信息 安全 的 作用 点 ， 从 信息 系统 、 信 息 以 及 信息 燃 的 角度 ， 可 以 将 信息 安全 看 作 是 由 三 
个 层次 、 五 个 层面 所 构成 的 层次 框 染 体 系 ， 并 且 在 每 个 层面 中 各 日 反映 了 在 该 层面 中 所 涉及 的 信 
县 安全 的 属性 ， 如 表 3-1 所 示 。 
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信息 对 抗 ”| AERD | 信息 利用 机 密 性 、 完 整 性 、 特 殊 性 
攻击 信息 机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 、 完 整 性 、 可 靠 性 
实 性 、 实 用 性 、 完 整 性 、 唯 一 性 、 不 可 否认 


信 MEE 机 密 性 SS 
X Ex ` = 息 O E> 二 
数据 安全 保护 信息 dote 
c nga 真实 性 、 可 控 性 、 可 用 性 、 合 法 性 、 唯 一 性 、 可 追溯 性 、 

系统 安全 占有 性 、 生 存 性 、 稳 定性 、 可 靠 性 


机 密 性 、 可 用 性 、 完 整 性 、 生 存 性 、 稳 定性 、 可 靠 性 


在 此 ， 系 统 安全 反映 的 是 信息 系统 所 面临 的 安全 问题 。 其 中 ,物理 安全 涉及 的 是 便 件 设施 方 
面 的 安全 问题 ; 运行 安全 涉及 的 是 操作 系统 、 数 据 库 、 应 用 系统 等 软件 方面 的 安全 问题 。 狭 义 的 
言 县 安全 所 反映 的 是 信息 目 喘 所 面临 的 安全 问题 。 其 中 ,数据 安全 是 以 保护 数据 不 受 外 界 的 侵扰 
为 目的 ， 包 括 与 泄密 、 伪 造 、 蓝 改 、 抵 赖 等 有 关 的 行为 ;内容 安全 则 是 反 过 来 对 流动 的 数据 进行 
限制 ， 包 括 可 以 对 指定 的 数据 进行 选择 性 地 阻 断 、 修 改 、 转 发 等 特定 的 行为 。 信 息 对 抗 则 是 针对 
言 姑 中 的 信息 烂 而 进行 的 隐藏 、 描 新， 或 发 现 、 分 析 的 行为 。 

从 信息 安全 属性 的 角度 来 看 ,每 个 层面 所 涉及 的 信息 安全 的 属性 ,对 应 于 该 层面 信息 安全 的 
外 部 特征 ， 也 具有 相应 的 处 置 方法 。 

(1) 物理 安全 。 是 指 对 网 络 与 信息 系统 的 物理 装备 的 保护 ， 主 要 涉及 网 络 与 信息 系统 的 机 密 
性 、 可 用 性 、 完 整 性 、 生 存 性 、 稳 定性 、 可 菲 性 每 基本 属性 。 所 和 面 对 的 威胁 主要 包括 电磁 泄漏、 
通信 干扰 、 信 号 注入 、 人 为 破坏 、 目 然 灾害 、 设 备 故 障 等 。 主 要 的 保护 方式 有 加 扰 处 理 、 电 磁 屏 
蔽 、 数 据 校 验 、 容 错 、 隐 余 、 系 统 备份 等 。 

(20 运行 安全 。 是 指 对 网 络 与 信息 系统 的 运行 过 程 和 运行 状态 的 你 护 ， 主 要 涉及 网 络 与 信息 
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系统 的 真实 性 、 可 控 性 、 可 用 性 、 合 法 性 、 唯 一 性 、 可 追溯 性 、 占 有 性 、 生 存 性 、 稳 定性 、 可 靠 
性 等 。 所 面 对 的 威胁 包括 非法 使 用 资源 、 系 统 安全 漏洞 利用 、 网 络 阻塞 、 网 络 病毒 、 越 权 访问 、 
非法 控制 系统 、 黑 客 攻击 、 拒 绝 服务 攻击 、 软 件 质量 差 、 系 统 钥 溃 等 。 主 要 的 保护 方式 有 防火 墙 
与 物理 隔离 、 风 险 分 析 与 漏洞 扫描 、 应 急 响应 、 病 毒 防治 、 访 问 控制 、 安 全 审计 、 入 侵 检测 、 源 
路 由 过 滤 、 降 级 使 用 、 数 据 备份 等 。 

(3) 数据 安全 。 是 指 对 信息 在 数据 收集 、 处 理 、 存 储 、 检 索 、 传 输 、 交 换 、 显 示 、 扩 散 等 过 
程 中 的 保护 ， 使 得 在 数据 处 理 层面 保障 信息 依据 授权 使 用 ， 不 被 非法 冒充 、 窃 取 、 纂 改 、 抵 赖 
主要 涉及 信息 的 机 密 性 、 真 实 性 、 实 用 性 、 完 整 性 、 唯 一 性 、 不 可 否认 性 、 生 存 性 等 ， 所 面 对 的 
威胁 包括 窃取 、 伪 造 、 密 钥 蕉 获 、 侦 改 、 上 冒充、 抵赖、 攻击 密 钥 等 。 主 要 的 保护 方式 有 加 密 、 认 
证 、 非 对 称 密 钥 、 完 整 性 验证 、 鉴 别 、 数 字 签名 、 秘 密 共享 等 。 

(4) 内 容 安全 。 是 指 对 信息 在 网 络 内 流动 中 的 选择 性 阻 断 ， 以 保证 信息 流动 的 可 控 能 力 。 在 
此 , 被 阻 断 的 对 象 可 以 是 通过 内 容 可 以 判断 出 来 的 对 系统 造成 威胁 的 脚本 病毒 、 因 无 限制 扩散 而 
导致 消耗 用 户 资源 的 垃圾 类 邮件 、 导 致 社会 不 稳定 的 有 害 信息 ， 等 等 。 主 要 涉及 信息 的 机 密 性 、 
真实 性 、 可 控 性 、 可 用 性 、 完 整 性 、 可 靠 性 等 。 所 面 对 的 难题 包括 信息 不 可 识别 〈 因 加 密 ) 、 信 
息 不 可 更 改 、 信 息 不 可 阻 断 、 信 息 不 可 符 换 、 信 息 不 可 选择 、 系 统 不 可 控 等 。 主 要 的 处 置 手段 是 
密 文 解析 或 形态 解析 、 流 动 信 息 的 裁剪、 信息 的 阻 断 、 信 息 的 蔡 换 、 信 息 的 过 滤 、 系 统 的 控制 等 

(5) 信息 对 抗 。 是 指 在 信息 的 利用 过 程 中 ， 对 信息 糯 的 真实 性 的 隐藏 与 保护 ， 或 者 攻击 与 分 
析 。 主 要 涉及 信息 精 的 机 密 性 、 完 整 性 、 特 殊 性 等 。 所 而 对 的 主要 问题 包括 多 角度 综合 分 析 、 攻 
击 或 压制 信息 的 传递 .用 无 用 信息 来 干扰 信息 入 的 本 质 , 主要 的 处 置 手段 是 消 隐 重要 的 局 部 信息 、 
加 大 信息 获取 能 力 、 消 除 信息 的 不 确定 性 等 。 


































































































EEN 业界 信息 安全 专家 定义 的 信息 安全 : 信息 安全 四 要 素 


m 











业界 者 名 的 信息 安全 专家 方 滨 兴 院士 在 深入 分 析 和 继承 了 传统 信息 安全 的 定义 前 提 下 , 根据 
当前 国际 信息 安全 的 发 展现 状 , 给 出 了 信息 安全 四 要么 ,并 重新 概括 和 界定 了 信息 安全 的 内 遂 和 
外 延 。 

在 诸多 信息 安全 的 属性 中 ， 分 析 可 见 ， 机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 属于 基本 属性 ， 相 
互 不 能 级 涵 。 其 中 机 密 性 反映 了 信息 与 信息 系统 的 不 可 被 非 授权 者 所 利用 ; 真实 性 反映 了 信息 与 
RERET ADEDE R E, 可 控 性 反映 了 信息 的 流动 与 信息 系统 可 锐 控 制 者 所 监控 ; 
可 用 性 反映 了 信息 与 信息 系统 可 被 授权 者 所 正 币 便 用 。 而 其 他 属性 ， 包 括 实用 性 、 完 整 性 、 合 法 
性 、 唯 一 性 、 不 可 否认 性 、 特 殊 性 、 后 有 性 、 可 追溯 性 、 生 存 性 、 稳 定性 、 可 菲 性 等 ， 则 属于 上 
述 四 个 基本 属性 的 茶 个 侧面 的 突出 反映 ， 因 此 可 以 归结 为 这 四 个 基本 属性 乙 中 。 其 中 实用 性 反映 
的 是 机 密 性 在 密 钥 依赖 方面 的 机 密 属 性 ;完整 性 、 合 法 性 、 唯 一 性 、 不 可 否认 性 、 特 殊 性 分 别 反 
映 的 是 真实 性 在 信息 内 容 本 映 、 信 息 来 源 、 信 息 系 统 行为 主体 、 信 息 的 发 布 行为 、 信 息 燃 方面 的 
真实 属性 ; 占有 性 、 可 退 济 性 分 别 反 映 的 是 可 控 性 对 信息 资源 的 保护 、 对 信息 及 信息 系统 行为 的 
审计 能 力 ; 生存 性 、 稳 定性 、 可 菲 性 分 别 反 映 的 是 可 用 性 在 信息 系统 的 容 灾 能 力 、 信 息 系 统 的 健 
壮 能 力 、 信 息 系 统 的 可 靠 能 力 方面 的 可 用 属性 。 由 此 ， 机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 这 四 个 
基本 属性 实际 上 残 古 信息 安全 的 四 个 核心 属性 ， 可 以 反映 出 信息 安全 的 基本 概貌 。 相 对 信息 安全 
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金三角 而 言 ， 可 称 之 为 信息 安全 四 要 素 ， 人 和信 机 密 性 (Cf) 真实 性 (Au) 
称 CACA， 如 图 3-3 所 示 。 

与 信息 安全 金三角 相 比 , 信息 安全 四 要 
素 弥 补 了 金三角 的 明显 不 足 。 在 金三角 CIA 可 控 性 (Ct) 可 用 性 CAv) 
的 机 密 性 、 完 整 性 、 可 用 性 三 个 属性 中 ， 完 
整 性 本 来 是 一 个 小 概念 ， 是 指 确保 信息 内 容 图 3-3 ”信息 安全 四 要 素 





个 衫 修改 ， 而 信息 的 来 源 甚 全 信息 发 布 行为 
主体 是 否 真实 则 无 法 表现 。 当 然 随 春 研究 的 深入 ， 英 国 的 BS7799 信息 安全 管理 标准 中 将 完整 性 
的 概念 扩大 成 涵 凋 了 信息 发 布 者 的 真实 与 信息 来 源 的 真实 两 个 , 但 这 明显 是 牵 踢 地 将 回 有 的 概念 
术语 的 外 延 扩大 到 本 不 属于 这 一 术语 的 意义 上 。 反 过 来 ， 真 实 性 则 完全 可 以 涵 善 完整 性 ， 因 为 真 
实 性 不 仅 可 以 反映 信息 来 源 的 真实 、 信 息 发 布 主体 的 真实 ， 而 且 也 可 以 反映 信息 内 容 的 芮 实 ， 而 
后 者 恰好 是 完整 性 的 概念 。 为 外 ， 可 控 性 接 述 了 内 容 安 全 中 对 网 络 上 的 信息 流 上 共有 可 探 能 力 的 属 
性 ， 而 这 在 机 密 性 、 完 整 性 与 可 用 性 中 都 无 法 表现 。 因 而 说 ，CIA 模型 是 有 大 缺 陷 的 。 

假定 在 信息 系统 、 信 息 与 信息 的 利用 中 存在 一 种 “ 序 ”， 并 且 这 种 “ 序 ” 反 映 了 信息 系统 、 
言 息 与 信息 利用 的 正常 运行 状态 ， 则 针对 信息 系统 、 信 息 与 信息 利用 的 “ 序 ” 的 保持 与 攻击 则 可 
以 看 作 是 信息 安全 的 问题 。 根 据 这 一 思路 ， 我 们 重新 定义 信息 安全 的 概念 如 下 。 

信息 安全 是 对 信息 系统 、 信 息 与 信息 利用 的 固有 属性 〈 即 “ 序 ”) 的 攻击 与 保护 的 过 程 。 它 
围绕 看 信息 系统 、 信 息 及 信息 烂 的 机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 这 四 个 核心 安全 属性 ， 具 体 
有 反映 在 物理 安全 、 运 行 安 全 、 数 据 安全 、 内 容 安 全 和 信息 对 抗 五 个 层面 上 。 

综合 信息 安全 的 层次 特性 与 安全 属性 特性 ， 可 以 形成 一 个 信息 安全 概念 的 经 纬 线 ， 如 表 3-2 
所 示 。 








































































































表 3-2 ”信息 安全 概念 的 经 纬 线 
emus | s | * | | > 
a | | vv | vv | 
We | 3 | 4 | | ， 
IDE ; 
Wai | vv vv -— 


EFJ 企业 信息 安全 的 实施 内 容 和 依据 ( 框架 ) 


3.4. 基本 原则 


根据 上 述 安全 防 染 构 的 多 个 层面 的 问题 ,综合 考 寿 可 实施 性 、 可 管理 性 、 可 扩展 性 、 综 合 
完备 性 、 系 统 均衡 性 等 方面 ， 企 业 信 息 安 全 防范 体系 在 整体 设计 过 程 中 需要 遵循 以 下 儿 项 准则 ， 
以 切实 全 面 地 做 好 企业 安全 防范 工作 。 
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1. 做 好 整体 规划 


企业 信息 安全 系统 应 该 包括 安全 防护 机 制 、 安 全 检测 
机 制 、 安 全 啊 应 机 制 和 安全 策略 ， 这 主要 来 源 于 经 典 的 信 
恩 安 全 领域 的 PZDR 模型 ( 见 图 3-4) 。P2DR 模型 包含 四 
个 主要 部 分 : Policy CHER) 、Protection〈 防 护 ) ~ 
Detection 〈 检 测 ) 和 Response《〈 啊 应 ) 。 
a Policy (CERK) 。 由 于 安全 傅 略 是 安全 管理 
的 核心 ， 所 以 要 想 实施 动态 网 络 安全 循环 过 程 ， 
必须 首先 制定 企业 的 安全 策略 ， 所 有 的 防护 、 检 
测 、 响 应 都 是 依据 安全 策略 实施 的 ， 企 业 安 全 入 
略为 安全 管理 提供 管理 方 同 和 文 持 手段 。 对 于 一 
个 宁 略 体系 的 建立 包括 : 安全 策略 的 制订 、 安 全 策略 的 评估 、 安 全 守 略 的 执行 等 。 
» Protection〈 防 护 ) 。 防 护 通常 是 采用 一 些 传统 的 静态 安全 技术 及 方法 来 实现 的 ， 主 要 
有 防火 场 、 加 密 、 认 证 等 方法 。 通 过 防火 场 监视 限制 进出 网 络 的 数据 包 ， 可 以 防范 外 
对 内 及 内 对 外 的 非法 访问 ， 提 高 了 网 络 的 防护 能 力 ， 当 然 需要 根据 安全 策略 制定 合理 
HE JENA: 也 可 以 利用 SecureID 这 种 一 次 性 口令 的 方法 来 增加 系统 的 安全 性 等 。 
» Detection〈 检 测 ) 。 在 网 络 安全 循环 过 程 中 ， 检 测 是 非常 重要 的 一 个 环 帮 ， 检 测 是 动态 
啊 应 的 依据 ， 它 也 是 强制 落实 安全 策略 的 有 力 工 具 ， 通 过 不 断 地 检测 和 监控 网 络 和 系 
统 ， 来 发 现 狐 的 威胁 和 弱 点 ， 通 过 循环 反馈 来 及 时 作出 有 效 的 啊 应 。 
» Response (HAV) 。 紧 和 急 啊 应 在 安全 系统 中 占有 最 重要 的 地 位 ， 是 解决 安全 潜在 性 最 有 
效 的 办 法 。 从 某 种 意义 上 讲 ， 安 全 问题 就 是 要 解决 紧急 啊 应 和 异常 处 理 问 题 。 要 解决 
好 紧急 啊 应 问题 ， 束 要 制订 好 紧急 啊 应 的 方案 ， 做 好 紧急 响应 方案 中 的 一 切 准 备 工 作 。 
因此 ,应 用 到 企业 安全 防范 架构 上 来 说 ,我们 也 要 很 好 地 孝 夸 这 些 要 点 ， 而 不 能 为 了 防范 而 
防范 ， 要 整体 规划 和 部 署 。 也 束 是 说 ， 安 全 防护 机 制 是 根据 其 体系 统 存 在 的 各 种 安全 威胁 末 取 的 
相应 的 防护 措施 ， 避 人 免 非法 攻击 的 进行 。 安 全 检测 机 制 是 检测 系统 的 运行 情况 ， 及 时 发 现 和 制止 
对 系统 进行 的 各 种 攻击 。 安 全 啊 应 机 制 是 在 安全 防护 机 制 失 效 的 情况 下 ， 进 行 应 急 处 理 和 尽量 、 
及 时 地 恢复 信息 ， 减 少 供给 的 人 破坏 程度 。 
2. FERRIERS E 


层次 性 防范 是 指 安全 层次 和 安全 级 别 。 良好 的 信息 安全 系统 必然 是 分 为 不 同等 级 的 , 包括 对 
言 息 保密 程度 的 分 级 、 对 用 户 操作 权限 的 分 级 、 对 网 络 安全 程度 的 分 级 (安全 子 网 和 安全 区 域 ) 、 
对 系统 实现 结构 的 分 级 〈 应 用 层 、 网 络 层 、 链 路 层 等 ) ， 从 而 针对 不 同 级 别 的 安全 对 象 ， 提 供 全 
面 、 可 选 的 安全 算法 和 安全 体制 ， 以 满足 网 络 中 不 同 层次 的 各 种 实际 需求 。 

3， 突 出 重点 ， 合 理 平衡 

网 络 信息 安全 的 木 桶 原则 是 指 对 信息 均衡 、 全 面 地 进行 保护 。 网 络 信息 系统 是 一 个 复杂 的 计 
算 机 系统 ， 它 本 身 在 物理 上 、 操 作 上 和 管理 上 的 种 种 漏洞 构成 了 系统 的 安全 脆弱 性 ， 尤 其 是 多 用 
户 网 络 系统 自身 的 复杂 性 、 资 源 共享 性 使 单纯 的 技术 保护 防不胜防 。 攻 击 者 使 用 的 “最 易 渗透 原 
则 ”， 必 然 在 系统 中 最 薄弱 的 地 方 进行 攻击 。 因 此 ， 充 分 、 全 面 、 完 整地 对 系统 的 安全 漏洞 和 安 
全 威胁 进行 分 析 、 评 估 和 检测 〈 包 括 模拟 攻击 ) 是 设计 信息 安全 系统 的 必要 前 提 条 件 ， 并 且 ， 突 
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图 3-4 经 典 信息 安全 P2DR 模型 
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出 一 些 重 点 环 市 。 安 全 机 制 和 安全 服务 设计 痛 先 应 考虑 到 防止 最 当 用 的 攻击 手段 , 根本 目的 是 近 
局 整个 系统 的 “安全 最 低 点 ”的 安全 性 能 ， 从 而 保证 既 做 到 合理 的 平衡 ， 又 做 到 了 重点 突出 。 


4. 技术 与 管理 ， 两 手 都 要 硬 


安全 体系 是 一 个 复杂 的 系统 工程 ,涉及 人 、 技 术 、 操 作 等 要 素 , 单 徘 技 术 或 单 徘 管理 都 不 可 
能 实现 。 因 此 ， 必 须 将 各 种 安全 技术 与 运行 管理 机 制 、 人 员 思 想 教育 与 技术 培训 、 安 全 规章 制度 
建设 相 结 合 。 切 忌 只 重视 其 中 一 种 而 忽视 为 一 种 的 情况 出 现 ， 要 明白 好 的 拉 术 是 定理 的 基础 ， 而 
局 效 地 管理 则 是 技术 强 有 力 的 保证 。 

o. 模块 化 ， 可 动态 调整 


当今 网 络 时 代 的 技术 日 新 月 异 , 网络 攻 与 防 的 较量 也 在 不 断 地 升级 , 新 的 洁 客 技术 和 网 络 威 
胁 的 出 现 ， 必 然 要 求 我 们 要 有 新 的 手段 和 对 策 进 行 防 御 。 所 以 我 们 的 安全 防护 不 可 能 一 步 到 位 ， 
可 在 一 个 比较 全 和 面 的 安全 规划 下 ， 根 据 网 络 的 实际 需要 ， 先 建立 基本 的 安全 体系 ， 你 证 基本 的 、 
必须 的 安全 性 。 今 后 随 痢 网 络 规模 的 扩大 及 应 用 的 增加 、 网 络 应 用 和 复杂 程度 的 变化 ， 网 络 脆弱 
性 也 会 不 断 增 加 ， 调 整 或 增强 安全 防护 力度 ， 保 证 整个 网 络 最 根本 的 安全 需求 。 要 根据 网 络 安全 
的 变化 不 断 调整 安全 措施 ， 适 应 新 的 网 络 环 境 ， 满 足 莉 的 网 络 安全 和 需求。 为 外 ， 各 个 网 络 防 御 手 
段 和 技术 需要 考 夸 到 模块 化 的 原则 ， 尽 量 做 到 相互 乙 间 不 要 有 太 大 的 依赖 性 ， 侣 则 很 容易 导致 单 
凡 失 效 的 问题 ， 对 它们 进行 合理 的 模块 化 ， 既 能 保证 较 好 的 防护 效果 ， 又 能 达到 可 动态 调整 和 扩 
展 的 目的 。 


3.4.2 ”传统 的 企业 信息 安全 架构 


从 当前 的 理论 研究 以 及 实践 经 验 来 看 ， 面 问 企 业 安 全 的 防范 体系 (架构 ) 并 没有 一 个 成 型 的 
模型 ， 各 企业 均 按 照 目 喘 的 经 验 和 组 织 管理 体系 来 进行 企业 网 络 安全 的 防范 工 作 。 然 而 ， 在 实践 
中 急需 有 一 套 具 有 指导 性 意义 的 方法 和 手段 来 对 其 工作 进行 指导 , 才能 做 到 有 备 无 患 。 我 们 看 到 ， 
关于 网 络 安全 的 相关 标准 及 模型 的 研究 已 经 日 趋 成 熟 和 理论 化 ， 并 在 实践 中 广泛 应 用 。 因 此 ， 传 
统 的 做 法 是 借用 这 些 模 型 和 标准 来 构建 一 套 较 为 有 效 和 共有 普 表 意义 的 企业 安全 防 冰 体系 。 
ITU-T X.800 Security Architecture 标准 将 我 们 和 常 说 的 “网 络 安全 (network security) ”进行 逻辑 上 
的 分 列 定义 ， 即 安全 攻击 (security attack) 是 指 损害 机 构 所 拥有 信息 安全 的 任何 行为 ， 安 全 机 制 
(security mechanism) 是 指 设计 用 于 检测 、 预 防 安全 攻击 或 者 恢复 系统 的 机 制 ; 安全 服务 (security 
service) 是 指 采 用 一 种 或 多 种 安全 
机 制 以 抵御 安全 攻击 、 提 高 机 构 的 
数据 处 理 系统 安全 和 信息 传输 安全 
的 服务 。 

Jy f BEST CY ERI HS S 
需求 ， 选 择 各 种 安全 产品 和 策略 ， 
有 必要 建立 一 些 系 统 的 方法 来 进行 
网 络 安 全 防范 。 网 络 安 全 防范 体系 
的 科学 性 、 可 行 性 是 其 可 顺利 实施 
的 保障 。 图 3-5 给 出 了 DISSP 安全 
框架 三 维 模 型 。 第 一 维 是 安全 服务 ， 图 3-5 DISSP 安全 框架 三 维 模型 
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第 3 章 
规划 ， 企 业 信息 安全 工作 用 路 ME 


给 出 了 八 种 安全 属性 。 第 二 维 是 系统 单元 ， 给 出 了 信息 网 络 系统 的 组 成 。 第 三 维 是 结构 层次 ， 给 
出 并 扩展 了 国际 标准 化 组 织 ISO 的 七 层 开放 系统 互联 《OSI) 模型 。 

框架 结构 中 的 每 一 个 系统 单元 都 对 应 于 东 一 个 协议 层次 , 需要 采取 在 干 种 安全 服务 才能 保证 
该 系统 单元 的 安全 。 网 络 平台 需要 有 网 络 结 反之 间 的 认证 、 访 问 控制 ， 应 用 平台 需要 有 和 针对 用 户 
的 认证 、 访 问 控制 ， 需要 保证 数据 传输 的 完整 性 、 保 密 性 ， 需 要 有 抗 抵赖 和 审计 的 功能 ， 需 要 保 
证 应 用 系统 的 可 用 性 和 可 靠 性 。 针 对 一 个 信息 网 络 系 统 ， 如 果 在 各 个 系统 单元 都 有 相应 的 安全 措 
施 来 满足 其 安全 需求 ， 则 我 们 认为 该 信息 网 络 是 安全 的 。 


3.4.3 ”新 的 企业 信息 安全 框 染 及 其 实施 内 酒 


从 上 一 小 节 的 介绍 不 难看 出 ， 传 统 的 企业 信息 安全 框架 存在 以 下 几 个 问题 。 
a ”概念 含糊 不 清 ， 且 没有 给 出 实施 的 可 用 参考 。 只 是 列 出 了 信息 安全 需要 关注 的 协议 层 
面 、 系 统 单元 和 涉及 的 几 个 安全 属性 ;而 在 安全 属性 中 ， 流 量 机 密 性 和 机 密 性 本 来 就 
是 一 回 事 ， 上 所 采用 的 技术 也 是 大 同 小 异 ， 并 没有 给 出 企业 在 信息 安全 保障 实施 过 程 中 
的 任何 可 行 性 建议 和 手段 ; 
a 忽略 了 管理 安全 。 访 框架 只 强调 技术 ， 而 忽略 了 管理 在 企业 信息 安全 保障 中 的 重要 作 
用 和 地 人 位。 所谓 “三 分 技术 ， 七 分 管理 ”， 没 有 管理 的 技术 难以 落 到 实处 ， 缺 乏 管理 
的 指导 性 ， 育 目地 使 用 技术 也 是 不 合理 的 。 
所 以 , 为 了 根据 500 强 企业 的 日 喘 特点 来 制定 可 行 的 企业 信息 安全 框架 , 我 们 可 以 回顾 一 下 
方 演 兴 院士 提出 的 信息 安全 定义 , 方 溪 兴 院士 提出 的 信息 安全 新 的 定义 和 内 涵 有 普 衣 的 适用 性 和 
实践 指导 和 意义， 和 它 尤其 适用 于 国家 信息 安全 工作 的 指导 和 规范 。 而 我 们 500 强 企 业 在 参照 该 定义 
的 前 担 下 ， 结 合 企业 在 信息 安全 工作 的 特点 ， 将 其 中 的 “信息 对 抗 ” 改 进 为 “管理 安全 ”， 这 主 
要 是 因为 以 下 两 个 重要 原因 。 
sa 企业 的 信息 安全 工作 主要 是 “ 防 ”， 以 防 为 主 ， 立 足 目 身 ， 基 本 上 不 会 采取 信息 对 抗 
的 方式 来 还 击 外 部 黑客 和 不 法 用 户 。 
sa 企业 的 信息 安全 工作 很 大 一 部 分 在 于 满足 外 部 对 企业 的 审核 要 求 ， 企 业 对 目 身 员工 、 
资源 等 的 管理 要 求 ， 这 就 依赖 于 管理 安全 ， 他 们 需要 参考 和 遵循 许多 业界 成 熟 的 标准 
和 人 制度， 比如 ISO/IEC 27001、 萨 班 斯 法 案 等 。 












































































































































因此 ,我 们 形成 了 企业 信息 安 

全 框架 。 其 本 质 是 : 企业 信息 安全 管理 安全 

从 技术 角度 来 看 是 对 信息 与 信息 B 

系统 固有 属性 的 攻击 与 保护 的 过 内 容 安全 (Confidentiality) 

程 。 它 围绕 着 信息 系统 、 信 息 自 身 : os 

及 信息 利用 的 机 密 性 、 真 实 性 、 完 数据 安全 保障 。 Cmegrio) valli) 
整 性 、 可 控 性 、 可 用 性 、 不 可 抵赖 

性 这 六 个 核心 安全 属性 , 具体 反映 运行 安全 NA me 
在 物理 安全 、 运 行 安全 、 数 据 安全 、 E 

内 容 安全 、 管 理 安全 五 个 层面 上 ， E Mu 

如 图 3-6 所 示 。 ， 








图 3-6 ”企业 信息 安全 框架 
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根据 图 3-6 的 企业 信息 安全 框架 ,在 实践 的 过 程 中 ,需要 采用 各 种 各 样 的 技术 来 完成 多 个 安 
全 任务 ， 并 参照 相应 的 业界 成 玖 的 法 规 和 制度 来 进行 和 检查， 从 而 完成 企业 信息 安全 工作 ， 有 其 体内 





容 如 表 3-3 所 示 。 


安全 任务 列表 安全 管理 依据 的 相关 制度 和 法 规 


(1) 干扰 处 理 、 电 磁 屏 蔽 : 











(1) GB 50174 一 93《 电 子 计 算 机 机 














指 对 网 络 与 信息 | 防范 电磁 汇 疡 ; PV); 
系统 物理 装备 的 | OC 容错 、 容 灾 、 宛 余 备 份 、 (2) GA/T 390 一 2002《 计 算 机 信息 
物理 安全 “| 保护 。 主 要 涉及 网 | 生存 性 技术 : 防范 随机 性 故障 ，| 系统 安全 等 级 保护 通用 技术 要 求 》; 
络 与 信息 系统 的 | (3) 信 息 验 证 :防范 信号 插入 ; | (3) GB 2887 一 2000《 电 子 计算 机 场 
机 密 性 、 可 用 性 、 (4) 机 房管 理 : 防范 非法 用 地 通用 规范 》: 
完整 性 等 属性 户 接触 和 破坏 物理 设备 (4) GB 9361 一 88《 计 算 站 场地 安全 
要 求 》 
CD 建立 风险 评估 体系 、 安 | CD GA/T 681—2007 信息 安全 技术 
全 测评 体系 : 文 持 系统 评估 ; | 网 关 安 全 技术 要 求 ; 
(2) 部 署 漏洞 扫描 、 采 用 安 | (2) GA/T 682—2007 信息 安全 技术 
全 协议 : 支 持 对 安全 策略 的 评 | 路 由 器 安全 技术 要 求 ; 
估 与 保障 ; (3) GA/T 683 一 2007 信息 安全 技术 
(3) 实施 防火 墙 、 物 理 隅 离 | 防火 墙 安全 技术 要 求 ; 
系统 、 访 问 控制 技术 、 防 恶意 | (4) GA/T 684—2007 信息 安全 技术 
代码 技术 : 文 持 访问 控制 ， 交换 机 安全 技术 要 求 ; 
(4) 建立 入 侵 检 测 、 入 侵 防 | (5) GA/T 685—2007 信息 安全 技术 
HAMES | 护 及 预警 系统 、 部 署 安全 审计 | 交换 机 安全 评估 准则 ; 
pe , 交换 机 安全 评估 准则 ; 
ae BUR: b i RT ; | (6) GA/T 697—2007 信息 安全 技术 
M C50 采用 反 制 系统 、 容 侵 拉 | 静态 网 页 恢复 产品 安全 功能 要 求 ; 
芒 。 主 要 涉及 网 络 | 下、 审计 与 追踪 技术 、 取 证 技 | o Mrd 
与 信息 系统 的 真 | 和 | | 7) GA/T 698—2007 信息 安全 技术 
运行 安全 AR: SERENE RU: 信息 过 滤 产 品 安全 功能 要 求 ; 


实 性 、 可 控 性 、 可 
用 性 等 


96 


C6) 采用 防 网 络 攻击 技术 , 包 
括 Phishing、Botnet、DDoS、 
木马 、 社 会 工程 学 等 防护 技术 ; 

CI) 采用 可 信 计 算 技术 、 安 全 
操作 系统 技术 、 安 全 数据 库 技 
A: 你 证 基础 平台 运行 安全 :; 

(8) 采用 VLAN、 网 段 隔离 
BUR: 文 持 细 粒 度 的 安全 控制 
和 策略 ; 

(90 采用 数据 备份 和 灾难 恢 
复 技 术 : 文 持 重要 数据 的 备份 
和 在 灾难 情况 下 的 恢复 














(8) GA/T 699—2007 信息 安全 技术 计 
算 机 网 络 入 侵 报 警 通信 交换 技术 要 求 ; 

(9) GAMT 700 一 2007 信息 安全 技术 
计算 机 网 络 入 侵 分 级 要 求 ; 

(100GB/T 20008 — 2005 信息 安全 技 
术 操 作 系 统 安全 评估 准则 ; 

(11)GB/T 20275 一 2006 信息 安全 技 
术 入 侵 检 测 系统 技术 要 求 和 测试 评 
价 方 法 ; 

(12) GB/T 20273 一 2006 信息 安全 技 
AR 数据 库 管理 系统 安全 技术 要 求 ; 

(13)GB/T 20278 — 2006 信息 安全 技 
术 网 络 脆弱 性 扫描 产品 技术 要 求 








Abr Xr 


A 2G 
规划 : 企业 信息 安全 工作 思路 D 





指 对 信息 在 数据 
收集 、 处 理 、 存 储 、 
检索 、 传 输 、 交 换 、 
显示 、 扩散 等 过 程 
中 的 保护 , 使 得 在 
数据 处 理 层面 保 
障 信 息 依据 授权 
使 用 , ARRA R 
T Wi. EX. 
抵赖 。 主 要 涉及 信 
恩 的 机 蜜 性、 真实 
性 、 完 整 性 、 不 可 
抵赖 性 等 








指 对 信息 在 网 络 
内 流动 中 的 选择 
性 阻 断 ， 以 你 证 信 
县 流动 的 可 控 能 
力 。 主 要 涉及 信息 
的 机 密 性 、 真 实 
HE. nIfSTE. RH 


性 等 





CIO 采用 对 称 与 非 对 称 密码 
技术 及 其 便 化 技术 、VPN 等 技 
术 : 防范 信息 泄密 ，; 

(2) 采用 认证 、 鉴 别 、PKI 
等 技术 : 防范 信息 伪造 ; 

(30 采用 完整 性 验证 技术 : 
防范 信息 算 改 ; 

(4) 采用 数字 签名 技术 : 防 
范 信 息 抵 赖 ; 

(50 采用 秘密 共享 技术 : B 
范 信 息 破 坏 ; 

C60 采用 隐 写 技术 、 水 印 技 
术 : 保护 信息 











(1) 末 用 文本 识别 、 图 像 识别 、 
流 媒 体 识别 、 和 群发 邮件 识别 等 : 
用 于 对 信息 的 理解 与 分 析 ; 

(2) 采用 面 问 内 容 的 过 滤 技 
术 (CVP) 、 面 问 URL 的 过 
滤 技术 (UFP) 、 面 向 DNS 
的 过 滤 技 术 等 : 用 于 对 信息 的 
过 滤 ; 

(30 运用 数据 挖掘 技术 : 发 
现 信息 ; 

(4) 部 署 针 对 即时 通 、MSN 
等 应 用 协议 的 分 析 技 术 : 对 特 
定 协 议 的 理解 ; 

C5) 采用 VoIP 识别 技术 : 对 数 
学 化 语音 信息 的 理解 和 分 析 ; 

C60 采用 音频 识别 与 按 内 容 
匹配 : 锁定 音频 目标 进行 























(1) GB/T 20518—2006 信息 安全 技 
术 公 钥 基 础 设施 数字 证 书 格式 ; 

(2) GB/T 20519—2006 信息 安全 技 
术 公 钥 基 础 设施 特定 权限 管理 中 心 
技术 规范 ; 

(3) GB/T 20520 一 2006 信息 安全 技 
术 公 钥 基 础 设施 时 间 惟 规范 ; 

(4) GB/T 21053 —2007 信息 安全 技 
术 公 钥 基 础 设施 PKI 系统 安全 等 级 
保护 技术 要 求 ; 

(5) GB/T 21054 一 2007 信息 安全 技 
术 公 钥 基 础 设施 PKI 系统 安全 等 级 
保护 评估 准则 ; 

(6) GA/T 686 一 2007 信息 安全 技术 
虚拟 专用 网 安全 技术 要 求 





目前 国家 暂 无 内 容 安全 相关 的 制度 
和 标准 ， 只 有 与 首 、 视 频 ， 网 络 协 议 
相关 的 网 络 标准 ， 如 RFC 等 
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(1) 设置 独立 的 安全 管理 和 
审计 人 员 : 设置 安全 人 员 有 助 
于 安全 工作 的 开展 和 全 局 安 
全 掌控 ; 

(2) 权限 分 离 ， 对 不 同 的 系 
统 和 应 用 设 定 与 业务 无 关 的 
安全 人 员 参 与 ， 做 到 权限 分 
离 ， 最 大 程度 地 保证 企业 安全 (2) ISO/TECI7799; 
运 维 ; (3) ISO/IEC27001 等 








在 信息 安全 的 保 


管理 安全 障 过 程 中 ， 除 上 述 (1) BS7799; 


技术 保障 之 外 的 


与 管理 相关 的 人 
员 、 制度 和 原则 方 
面 的 安全 措施 (3) 安全 制度 : 设立 健全 的 
企业 安全 管理 和 运 维 制度 , 保 
证 企业 安全 运 维 ; 
(40 安全 培训 : 通过 培训 提 
高 企业 人 员 的 安全 意识 和 安 
全 技能 ， 做 到 有 备 无 患 








EFJ 规划 企业 Linux 安全 的 实施 内 容 














操作 系统 是 控制 其 他 程序 运行 、 省 理 系统 资源 并 为 用 户 提 供 操 作 界 面 的 系统 软件 的 集合 。 操 
作 系 统 号 负 诸 如 管理 与 配置 内 存 、 决 定 系统 资源 供需 的 优先 次 序 、 控 制 输入 与 输出 设备 、 操 作 网 
络 与 管理 文件 系统 等 基本 事务 。 操 作 系统 管理 计算 机 系统 的 全 部 便 件 资源 包括 软件 资源 及 数据 资 
源 ; 控制 程序 运行 ; 改善 人 机 界面 ; 为 其 他 应 用 软件 提供 文 持 等 ， 使 计算 机 系统 所 有 资源 最 大 限 
度 地 友 挥 作用 ， 为 用 户 提 供 方便 的 、 有 效 的 、 友 善 的 服务 界面 。 

作为 企业 运 维 应 用 最 为 广泛 ， 软 便 件 均 非 党 依赖 的 操作 平台 , 操作 系统 在 企业 信息 安全 的 保 
障 中 也 有 看 非常 重要 的 作用 。 该 层次 的 安全 问题 来 日 网 络 内 使 用 的 操作 系统 的 安全 ， 妆 前 的 以 
Windows 系列 为 主导 的 操作 系统 从 根本 上 来 说 都 存在 痢 相 当 大 的 安全 性 问题 , 非常 容易 遭受 因为 
自身 漏洞 而 导致 的 黑客 攻击 。 这 具体 表现 在 两 个 大 的 方面 ， 一 是 操作 系统 本 身 的 缺陷 带 来 的 不 安 
全 因素 ， 主 要 包括 有 身份 认证 、 访 问 控 制 、 系 统 漏洞 等 ， 二 是 对 操作 系统 的 安全 配置 问题 ， 主 要 包 
括 密 人 码 问 题 、 应 用 服务 的 配置 问题 等 。 束 第 一 个 问题 来 说 ， 目 前 的 企业 大 多 采用 优秀 的 网 络 操作 
系统 Linux XAR Windows, 可 以 极 大 地 减少 系统 源 洞 向来 的 网 络 威胁 , 同时 由 于 其 是 开源 软件 ， 
学 术 界 和 企业 界 都 以 其 为 监 本 进行 安全 操作 系统 的 开发 , 相信 不 久 将 会 有 较为 成 型 的 安全 操作 系 
统 能 够 进入 企业 和 广大 用 户 的 家 几 ; 第 二 个 问题 是 所 有 操作 系统 都 存在 的 问题 ， 其 体 需 要 通过 提 
高 使 用 人 员 的 目 喘 素质 和 安全 防范 意识 来 解决 ， 设 置 安全 的 密码 和 合理 配置 网 络 应 用 服务 ， 关 措 
不 必要 的 “后 门 ”， 使 得 企业 安全 在 操作 系统 这 一 层 能 够 稳固 。 

因此 ， 结 合 3.4.3 小 季 介 绍 的 企业 信息 安全 的 范围 和 实施 手段 ， 该 500 强 企业 将 企业 Linux 
安全 实施 的 工作 界定 为 以 下 两 个 方面 。 


































































































第 3 章 
规划 :企业 信息 安全 工作 用 路 M 


(OD 运行 安全 。 主 要 涉及 操作 系统 自身 系统 安全 及 网 络 层 安全 。 

nm ”操作 系统 安全 。 主 要 体现 在 如 何 通 过 用 户 管 理 、 操 作 系 统 增 强 拷 术 、 密 码 管 理 、 主 机 
入 侵 检 测 系 统 技 术 等 来 保障 操作 系统 目 喘 安全 ， 为 其 上 的 应 用 提供 有 力 的 安全 保障 和 
xd. 

sa 网 络 层 安全 。 该 层次 的 安全 问题 主要 体现 在 网 络 方面 的 安全 性 ， 而 且 体现 在 以 Linux 
为 平台 基础 的 运行 的 网 络 服务 上 上， 包括 网 络 层 身份 认证 、 网 络 资源 的 访问 控制 、DNS 
域名 系统 的 安全 、 路 由 系统 的 安全 、 防 火 增 技 术 、 入 侵 检 测 技术 、 网 络 设施 防 病毒 等 。 
该 层 的 安全 及 安全 技术 问题 是 当前 企业 面临 的 最 大 问题 ， 由 于 互联 网 的 开放 性 和 普遍 
性 ， 企 业 为 了 获得 经 济 效益 及 提升 知名 度 ， 不 得 不 通过 网 络 这 个 手段 来 进行 许多 商业 
宣传 和 运作 活动 ,那么 不 可 避免 地 会 为 网 络 威胁 所 困扰 ， 当 前 的 网 络 层面 的 DoS 攻击 、 
DDoS 攻击 等 危害 日 瘟 增 大 ， 且 退 蹊 和 防范 的 难度 也 越 来 越 大 ， 它 们 针对 TCP/IP. 协议 
栈 在 设计 和 实现 上 的 一 些 漏洞 进行 攻击 , 从 而 使 得 被 攻击 目标 出 现 故 障 或 者 是 “ 凑 痪 ”， 
该 层 的 安全 防护 技术 主要 是 针对 各 种 类 型 的 DoS 和 DDoS 攻击 进行 防护 和 抑制 。 

(2) 数据 安全 。 指 对 在 Linux 系统 中 ， 信 息 在 数据 收集 、 处 理 、 存 储 、 检 索 、 传 输 、 交 换 、 
显示 、 扩 散 等 过 程 中 的 保护 ,使 得 在 数据 处 理 层 面 保障 信息 依据 授权 使 用 , MARIRE R 
算 改 、 抵 赖 。 主 要 涉及 信息 的 机 密 性 、 真 实 性 、 完 整 性 、 不 可 抵赖 性 等 。 主 要 包括 加 解密 技术 、 
VPN 技术 等 。 
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选 型 : 企业 Linux 软 硬 件 选 型 及 安装 
部 署 


本 章 导读 


Na 


500 强 企业 在 选择 企业 操作 系统 的 时 候 
非常 地 考究 。 一 是 要 选择 安全 、 可 靠 的 系统 
平 合 来 构建 自己 的 应 用 ， 二 是 要 考虑 到 能 够 
第 养 一 批 熟 练 和 高 级 的 系统 管理 人 员 ， 三 是 
要 注意 节省 开支 ， 尺 量 “ 花 小 钱 ， 办 大 事 ”， 
I 
贵 的 ， 用 好 的 ， 结 果 都 不 是 自己 需要 的 。 

对 于 Linux 操作 系统 来 说 ， 企 业 在 选择 
时 要 考虑 到 其 发 行 套件 、 内 核 版 本 以 及 服务 
器 选 型 等 诸多 问题 。 并 且 ， 为 了 节省 人 力 、 
物力 , 需要 大 规模 地 高 效 部 署 Linux, 如 何 解 
决 这 些 问 题 呢 ? 本 章 将 为 读者 一 一 解答 。 


造型 : 企业 Linux KEHEE EET 


ETE Linux 应 用 套件 选择 


4.1.1 Linux 的 历史 








要 讲 Linux 的 发 展 历史 ， 不 能 不 提 到 UNIX 和 Minix。UNIX 的 早期 版 本 源 代码 可 以 免费 获 
得 ,但 是 当 AT&T 发 布 版 UNIX 7 时 ， 开 始 认 识 到 UNIX 的 商业 价值 ， 于 是 发 布 的 版 本 7 许可 证 
茶 止 在 谍 程 中 研究 其 源 代 码 以 免 其 商业 利益 受到 损害 。 许 多 学 校 为 了 遵守 该 规定 ， 就 在 读 程 中 略 
去 UNIX 的 内 容 而 只 讲 操作 系统 理论 。 

只 讲理 论 使 学 生 对 实际 的 操作 系统 产生 厂 面 的 认识 。 为 了 扭转 这 种 局 面 , 坦 尼 鲍 姆 决定 编写 
一 个 在 用 户 看 来 与 UNIX 完全 若 容 ， 然 而 内 核 全 新 的 操作 系统 一 一 Minix。 坦 尼 鲍 姆 希望 通过 
Minix 读者 可 以 训 析 一 个 操作 系统 ， 研 究 其 内 部 如 何 运 作 。Minix 其 名 称 源 于 “Mini-UNIX”。 
Minix 一 直 恪 守 “Small is beautiful” 的 原则 ， 其 最 早 的 版 本 其 全 不 需要 便 盘 了 吏 可 以 运行 ， 这 使 得 
许多 早期 的 学 生 都 能 够 有 能 力 负 担 其 便 件 的 要 求 。 随 痢 其 功能 和 规模 的 增长 ， 大 多 数 人 都 想 在 
Minix 中 加 入 一 些 新 特性 以 使 之 更 大 、 更 有 用 ， 而 Minix 的 作者 在 几 年 内 也 一 直 坚 持 不 增加 新 特 
PE, {E Minix 保持 短小 精 悍 的 特点 ， 便 于 学 生理 解 。 此 后 ， 分 兰 学 生 Linus Torvalds 决定 编写 一 
个 类 似 Minix 的 系统 ， 其 特征 过 多 且 和 面向 实用 而 非 教 学 。 他 编写 的 这 个 操作 系统 就 是 Linux. 

1990 年 ，Linus Torvalds 用 汇编 语言 号 了 一 个 在 80386 保护 模式 下 处 理 多 任务 切换 的 程序 ， 后 来 
从 Minix 中 得 到 灵感 ， 他 开始 号 了 一 些 便 件 的 设备 张 动 程序 、 一 个 小 的 文件 系统 ， 这 样 0.0.1 版 本 的 
Linux 就 出 来 了 ， 但 是 它 必须 在 有 Minix 的 机 右上 编 详 以 后 才能 运行 。 这 时 候 ，Linus 决定 彻 的 抛弃 
Minix， 编 写 一 个 完全 独立 的 操作 系统 。1991 年 10 月 5 号 Linus 发 布 了 Linux 0.0.2 版 本 ， 这 个 版 本 
已 经 可 以 运行 bash〈 一 种 用 户 与 操作 系统 内 核 通信 的 命令 解释 软件 ) 和 GCC (GNU C ikar) T. 

Linus 从 一 开始 殉 决 定 目 由 扩散 Linux。 他 把 源 代码 发 布 在 网 上 ， 随 即 就 引起 爱好 者 的 注 总 ， 
他 们 通过 互联 网 也 加 入 了 Linux 的 内 核 开 发 工作 ， 一 大 批 高 水 平 程序 员 的 加 入 ， 使 得 Linux 迅猛 
发 展 。 到 1993 年 底 ，Linux 1.0 终于 诞生 。Linux 1.0 是 一 个 功能 完备 的 操作 系统 ， 其 内 核 写 得 紧 
凑 高 效 ， 可 以 充分 发 挥 人 硬件 的 性 能 ， 在 4MB 内 存 的 80386 机 器 上 也 表现 得 非常 好 。 

Linux 从 1.3 版 本 之 后 开始 向 其 他 便 件 平台 上 移植 。 目 Linux 能 将 使 件 的 性 能 宛 分 发 挥 出 
来 ， 可 以 宫 括 从 低 闪 到 高 端的 所 有 应 用 。 现 在 Linux 可 以 在 Intel. DEC 的 Alphas, Motorola 的 
M68k、Sun Sparc, PowerPC, MIPS 等 处 理 器 上 运行 。 

Linux 昌 然 加 入 GNU JF GPL， 但 是 并 不 排斥 商家 的 参与 ， 不 排斥 在 Linux 上 开发 商业 
软件 , 故而 使 Linux 开始 了 新 的 飞跃 ,出现 了 很 多 的 Linux 发 行 版 , 如 Slackware. Red Hat, Suse, 
TurboLinux、OpenLinux 等 10 多 种 ， 而 且 仍 在 增加 。 许 多 公司 还 在 Linux 上 开发 商业 软件 或 把 其 
他 UNIX 平台 的 软件 移植 到 Linux 上 来 。 如 今 很 多 IT AUA PU IBM, Intel, Oracle, Infomix, 
Sysbase、Corel、CA、Novell 等 都 宣布 支持 Linux。 商 家 的 加 盟 弥 补 了 纯 上 自由 软件 的 不 忠和 发 展 
障碍 ， 使 Linux 得 以 迅速 普及 。 


4.1.2 5 Linux 相关 的 基本 概念 













































































1. 开源 软件 
开放 源 代 人 码 软件 是 一 种 公开 源 代码 的 软件 ， 任 何人 部 可 以 修改 、 使 用 、 找 贝 、 分 友 软 件 的 源 
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ARI o Linux FI Zope 是 最 典型 的 开放 源 代 码 软件 。 
开放 源 代码 软 件 由 众多 的 商业 公司 共同 开发 ， 能 够 得 到 更 好 的 质量 保证 。Zope 是 由 数 白 个 
公司 、 数 和 干 个 开 友 人 员 共 同 维护 的 ， 他 们 共同 组 成 了 Zope 社区 。 同 样 Plone 也 是 由 很 多 的 商业 
公司 在 共同 开发 和 维护 ， 润 普 公 司 正 是 这 些 商 业 公司 的 积极 参与 者 之 一 。 其 实 ，IBM 和 HP 也 都 
是 文 持 开放 源 代 码 的 软件 公司 。 
同 传统 的 封闭 源 代码 软件 相 比 ， 开 放 源 代码 软件 为 客户 种 来 如 下 价值 。 
a ”没有 版 权 问 题 。 客 户 无 宕 文 付 软 件 版 权 旨 用， 便 可 授权 使 用 。 这 同时 极 大 地 降低 了 解 
决 方案 的 成 本 。 
a 更 加 安全 和 稳定 。 由 于 其 开放 性 ， 开 放 软 件 源 代 码 可 以 得 到 全 世界 众多 同行 的 审 得 ， 
因此 更 易 具 备 类 似 Linux 的 安全 性 和 稳定 性 
a 更 强 的 生命 力 : 开放 源 代 但 产 品 有 更 多 的 用 户 ， 因 此 它 有 看 更 强 的 生命 力 。 开 放 源 代 
人 码 软件 不 会 因 茶 个 具体 的 公司 的 倒闭 而 结 
2. GNU 


















































GNU & GNU’ s Not Unix (网 站 为 : www.gnu.org) 的 递归 缩写 ， 是 由 目 由 软件 大 师 Richard 
Stallman 在 1983 F 9 H 27 日 公开 发 起 的 。 它 的 目标 是 创建 一 套 完全 日 由 的 操作 系统 。 

为 你 证 GNU 软件 可 以 日 由 地 使 用 、 复 制 、 修 改 和 发 布 ， 所 有 GNU 软件 都 在 一 份 禁 止 其 他 
人 添加 任何 限制 的 情况 下 授权 所 有 权利 给 任何 人 的 协议 条 球 ，GNU 通用 公共 许可 证 (GNU 
General Public License, GPL) > XAW ERRA “RRA” CREK Copyleft) 的 概念 。 

1985 年 Richard Stallman 又 创立 了 上 自由 软件 基金 会 (Free Software Foundation) 来 为 GNU 计 
划 提 供 技术 、 法 律 以 及 财政 文 持 。 尽 管 GNU 计划 大 部 分 时 候 是 由 个 人 目 愿 无 偿 贡 献 ， 但 FSF 有 
时 还 是 会 聘请 程序 员 帮 助 编写 。 当 GNU 计划 开始 逐渐 获得 成 功 时 ， 一 些 商 业 公 司 开 始 介 入 开发 
和 技术 文 持 。 其 中 最 车 名 的 就 是 之 后 说 Red Hat 3&JFHJ Cygnus Solutions. 

到 了 1990 Œ, GNU 计划 已 经 开发 的 软件 包括 了 一 个 功能 强大 的 文字 编辑 器 Emacs, C 语言 编 
译 器 GCC， 以 及 大 部 分 UNIX 系统 的 程序 库 和 工具 。 

a: 





























1991 4 Linus Torvalds 编写 出 了 与 UNIX JERK Linux 操作 系 
统 内 核 并 在 GPL 条 球 下 发 布 。Linux 之 后 在 网 上 广泛 流传 ， 许 多 程 
序 员 参与 了 开发 与 修改 。1992 年 Linux 与 其 他 GNU 软件 结合 ， 完 
全 目 由 的 操作 系统 正式 诞生 。( 尽 管 如 此 GNU 计划 目 己 的 内 核 Hurd 
依然 在 开发 中 ， 目 前 已 经 发 布 Beta 版 本 ) 。 因 此 , 严格 的 说 ，Linux 
应 该 称 为 GNU/Linux。 并 且 ， 许 多 UNIX Ri EEZ I GNU 软 
件 ， 因 为 GNU 软件 的 质量 比 之 前 UNIX 的 软件 还 要 好 。GNU 工具 
还 被 广泛 地 移植 到 Windows 和 Mac OS 上 。 

图 4-1 给 出 了 GNU 的 常用 图 标 。 

3. GPL 

















图 4-1 GNU LOGO 





GNU 通用 公共 许可 证 (GNU General Public License， 简 称 为 GPL) 是 由 自由 软件 基金 会 发 
行 的 用 于 计算 机 软件 的 许可 证 (网 站 为 :http:/www.gnu.org/licenses/gpl.html)〉。 最 初 由 Richard 
Stallman 为 GNU 计划 而 撰写 ,目前 大 多 数 的 GNU 程序 和 超过 半数 的 上 日 由 软件 使 用 此 许可 证 。 此 
许可 证 最 新 版 本 为 “版 本 3”，2007 年 6 HRH. 
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GPL 不 会 授予 许可 证 接受 人 无 限 的 权利 。 再 发 行 权 的 授予 需要 许可 证 接受 人 开放 软件 的 源 
代码 ， 及 所 有 修改 。 且 复制 件 、 修 改版 本 ， 都 必须 以 GPL 为 许可 证 。 这 些 要 求 就 是 Copyleft， 它 
的 基础 就 是 作品 在 法 律 上 版 权 所 有 。 由 于 它 版 权 所 有 , 许可 证 接受 人 就 无 权 进 行 修改 和 再 发 行 ( 除 
合理 使 用 ， 除 非 它 有 一 个 Copyleft 条 款 。 如 果 某 人 想 行使 通常 被 法 律 所 禁止 的 权利 ， 只 需 同意 
GPL 的 条 款 。 相 反 地 ， 如 果 某 人 发 行 软件 违反 了 GPL (比如 不 开放 源 代码 ) ， 他 就 有 可 能 被 原 
作者 起 诉 。Copyleft 利用 版 权 法 来 达到 与 其 相反 的 目的 : Copyleft 给 人 不 可 剥夺 的 权利 ， 而 不 是 
版 权 法 所 规定 的 诸多 限制 。 这 也 是 GPL 被 称 作 “ 被 黑 的 版 权 法 ”的 原因 。 许多 GPL 软件 发 行 
者 都 把 源 代码 与 可 执行 程序 捆绑 起 来 。 另 一 方式 就 是 以 物理 介质 〈 比 如 CD ) 为 载体 提供 源 代码 。 
在 实践 中 ,许多 GPL 软件 都 是 在 互联 网 上 发 行 的 ， 源 代码 也 有 许多 可 以 FTP 方式 得 到 。Copyleft 
只 在 程序 再 发 行 时 发 生效 力 。 对 软件 的 修改 可 以 不 公开 或 开放 源 代码 , 只 要 不 发 行 ,注意 Copyleft 
只 对 软件 有 效力 ， 而 对 软件 的 输出 并 无 效力 除非 输出 的 是 软件 本 身 ) 。 不 过 这 在 GPL 版 本 3 
中 可 能 会 有 改动 。 

GPL 设计 为 一 种 许可 证 ， 而 不 是 合同 。 在 英美 法 系 国家 ， 许 可 证 与 合同 有 法 律 上 的 明确 区 别 ; 
合同 由 合同 法 保障 效力 ， 而 GPL 作为 一 种 许可 证 有 版 权 法 保障 效力 。 不 过 在 许多 采用 欧陆 法 系 的 
国家 并 无 此 种 区 别 。GPL 原理 简单 ， 在 版 权 法 下 ， 你 不 遵守 GPL 的 条 款 和 条 件 就 没有 相应 权利 。 
而 作品 在 没有 GPL 的 情况 下 ， 版 权 法 作为 默认 条 款 发 生效 力 ， 而 不 是 作品 进入 公有 领域 

4. POSIX 




































































POSIX 表示 可 移植 操作 系统 接口 (Portable Operating System Interface, 4# 5 POSIX) 。 电 
气 和 电子 工程 师 协 会 〈Institute of Electrical and Electronics Engineers, IEEE) 最 初 开 发 POSIX bk 
准 ， 是 为 了 提高 UNIX 环境 下 应 用 程序 的 可 移植 性 。 然 而 ，POSIX 并 不 局 限于 UNIX。 许 多 其 他 
的 操作 系统 ,例如 DEC OpenVMS 和 Microsoft Windows NT 都 文 持 POSIX 标准 ,尤其 是 IEEE Std. 
1003.1-1990(1995 年 修订 ) e, POSIX.1. POSIX.1 提供 了 源 代码 级 别 的 C 语言 应 用 编程 接口 (API) 
给 操作 系统 的 服务 程序 , 例如 读 写 文件 。 POSIX.1 己 经 被 国际 标准 化 组 织 (International Standards 
Organization, ISO) 所 接受 ， 被 命名 为 ISO/IEC 9945-1:1990 标准 。 

POSIX 现在 已 经 发 展 成 为 一 个 非常 庞大 的 标准 族 ， 某 些 部 分 正 处 在 开发 过 程 中 。 而 Linux 
的 目标 是 保持 和 POSIX 的 兼容 。 


4.1.3 Linux 的 主要 特点 


Linux 从 一 个 由 个 人 开发 的 操作 系统 骏 形 经 过 短 短 十 多 年 时 间 驶 发 展 成 为 今天 举足轻重 
的 操作 系统 ， 与 Windows. UNIX 一 起 形成 操作 系统 领域 三 足 易 芯 的 局 势 ， 必 定 有 其 原因 。 
Linux 上 自 吴 的 特点 殉 是 其 获得 成 功 的 原因 。Linux 具有 以 下 特性 。 
。 ”公开 源码 。 作 为 程序 员 ， 通 过 阅读 Linux 内 核 和 Linux 下 其 他 程序 的 源 代码 ， 可 以 学 到 
很 多 编程 经 验 和 其 他 知识 ; 作为 最 终 用 户 ， 使 用 Linux 避免 了 使 用 盗版 Windows Hyji 
炊 ， 也 避免 了 使 用 正版 Windows 的 庞大 费用 。 一 个 比较 著名 的 例子 是 ， 墨 西 哥 政府 采 
用 Linux 操作 系统 奉 代 使 用 Windows 操作 系统 ， 大 约 节 省 了 1.24 亿美 元 。 
s。 ”系统 稳定 ,Linux KH T UNIX 的 设计 体系 , 汲取 了 UNIX 系统 25 年 的 发 展 经 验 。Linux 
操作 系统 体现 了 现代 操作 系统 的 设计 理念 和 最 经 得 住 时 间 考 验 的 设计 方案 。 在 服务 器 
操作 系统 市 场 上 ，Linux 已 经 超过 Windows 成 为 服务 器 首选 操作 系统 。 
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性 能 突出 。 德 国 C'T 最 近 公 布 了 最 新 的 Windows 和 Linux 之 间 的 测试 结果 。 测 试 是 由 
Jurgen Schmidt 组 织 的 ， 结 下 表明 两 种 操作 系统 在 各 种 应 用 情况 下 ， 尤 其 古 在 网 络 应 用 
环境 中 ，Linux 的 总 体 性 能 更 好 。 

设备 独立 性 。 设 备 独 立 性 是 指 操作 系统 把 所 有 外 部 设备 统一 当 作 文件 来 看 每 ， 只 要 安 
装 它 们 的 驱动 程序 ， 任 何 用 户 都 可 以 像 使 用 文件 一 样 ， 操 纵 、 使 用 这 些 设备 ， 而 不 必 
知道 它们 的 具体 存在 形式 。Linux 是 具有 设备 独立 性 的 操作 系统 ， 它 的 内 核 具 有 局 上 度 适 
应 能 力 ， 随 着 更 多 的 程序 员 加 入 Linux 编程 ， 会 有 更 多 硬件 设备 加 入 到 各 种 Linux 内 核 
和 发 行 版 本 中 。 另 外 ， 由 于 用 户 可 以 免费 得 到 Linux AFRI, WE, HA H E 
改 内 核 源 代码 ， 以 便 适 应 新 增加 的 外 部 设备 。 

安全 性 强 。 各 种 病毒 的 频 索 出 现 使 得 微软 几乎 每 陋 几 天 了 束 要 为 Windows Zh Is m 
现在 针对 Linux 的 病毒 则 非常 少 , 而 且 Linux 的 公开 源 代 人 码 的 开发 方式 使 得 各 种 源 润 都 
能 够 在 Linux 上 得 到 及 早 发 现 和 弥补 。 

FR. Windows 只 能 在 Intel 构架 下 运行 ， 但 是 Linux 除了 可 以 运行 于 Intel 平台 外 ， 
还 可 以 运行 于 Motorola 公司 的 68K 系列 CPU, IBM、Apple、Motorola 公司 的 PowerPC 
CPU, Compaq 和 Digital 公司 的 Alpha CPU, MIPS t} , Sun 公司 的 SPARC 和 UltraSparc 
CPU, Intel 公司 的 StrongARM CPU 等 处 理 絮 系统 。 

完全 兼容 UNIX。Linux 和 现今 的 UNIX、System V、BSD 等 三 大 主流 的 UNIX 系统 几 
乎 完全 兼容 ， 在 UNIX 下 可 以 运行 的 程序 ， 完 全 可 以 移植 到 Linux 下 运行 。 

民 好 的 可 移植 性 。Linux 是 一 种 可 移植 的 操作 系统 ， 能 够 在 从 微型 计算 机 到 大 型 计算 机 
的 任何 环境 中 和 任何 平台 上 运行 ,可 移植 性 为 运行 Linux 的 不 同 计算 机 平台 与 其 他 任何 
机 费 进 行 准确 而 有 效 的 通信 提供 了 手段 ， 不 需要 男 外 增加 特殊 的 和 郧 员 的 通信 接口 。 
强大 的 网 络 服务 。Linux 诞生 于 因特网 ， 它 共有 UNIX 的 特性 ， 保 证 了 它 文 持 所 有 标准 
因特网 协议 ， 而 且 Linux 内 置 了 TCP/P 协议 。 事 实 上 ，Linux 是 第 一 个 文 持 IPv6 的 操 
作 系 统 。 




























































































4.1.4 Linux 的 应 用 领域 


Linux 从 诞生 到 现在 ， 已 经 在 各 个 领域 得 到 了 广泛 应 用 ， 显 示 了 强大 的 生命 力 ， 并 且 其 应 用 
正 日 苑 扩大。 下 面 列 举 其 主要 应 用 领域 。 


4.1.5 

















教育 领域 。 设 计 先 进 和 公开 源 代 人 码 这 两 大 特性 使 Linux 成 为 操作 系统 诬 程 的 好 教材 。 
网 络 服务 需 领 域 : 稳定、 健壮 、 系 统 要 求 低 、 网 络 功 能 强 使 Linux 成 为 现在 Internet 服 
务 占 操作 系统 的 首选 ， 现 已 达到 了 服务 器 操作 系统 市 场 25% 的 占有 率 。 

企业 Intranet。 利 用 Linux 系统 可 以 使 企业 用 低廉 的 投入 架设 E-mail Jk WWW 服 
Fir RERE BHAR, HHko 

TUBES. S AH GHE MM 200 多 台 装 有 Linux 系统 的 机 器 协作 
完成 其 特技 效果 的 。 











常见 的 Linux 发 行 套件 


1. Red Hat Linux/ Red Hat Enterprise Linux 


Red Hat Linux， 俗 称 红 帽子 Linux， 是 应 用 最 广 、 最 为 成 熟 的 Linux 发 行 版 本 ， 同 时 也 可 以 
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造型 ， 企 业 Linux 软 硬 件 选 型 及 安装 部 嗜 国生 
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ES 





Died Am Linux 版 本 了 ，Red Hat Linux 已 经 创造 了 目 己 的 品牌 ， 越 来 越 多 的 人 听 说 过 它 〈 请 
参见 图 4-2 所 示 的 Red Hat Linux 的 经 典 图 标 )。Red Hat 在 
1994 年 创业 ， 当 时 聘用 了 全 世界 500 多 名 员工 ， 他 们 都 致力 
于 开放 的 源 代码 体系 。 

Red Hat Linux 是 一 个 高 效 的 了 商用 版 本 , 是 喜爱 Linux 的 高 
手 们 进行 应 用 级 和 内 核 级 开发 的 最 合适 的 选择 ,同时 也 是 初学 
者 步 入 Linux 这 个 目 由 而 神 革 的 殿 竺 的 最 佳 使 用 工具 。 它 孚 有 
极 好 的 口碑 ， 同 时 它 的 个 人 版 本 和 企业 所 本 在 Linux 个 人 用 户 
和 服务 需 市 场 都 占有 极 高 的 比率 。 同 时 ， 其 丰富 的 系统 管理 和 
网 络 管理 工具 ， 使 得 用 户 越 来 越 轻松 方便 地 对 系统 和 网 络 平 台 r ed a at 
进行 维护 和 管理 。 同 时 ， 由 于 其 用 户 是 一 个 巨大 的 群体 ， 因 此 
作为 开源 操作 系统 ,很 多 的 应 用 软件 也 针对 其 被 开 友 和 共 宇 出 图 4-2 Red Hat Linux 图 标 
来 ， 因 此 也 为 该 系统 的 发 展 提供 了 很 多 便利 。 

Red Hat Enterprise Linux 〈 缩 写 为 RHEL，Red Hat 的 企业 版 )。Red Hat 现在 将 企业 发 展 的 
重心 转 同 了 服务 器 版 的 Linux 开发 ， 在 成 本 上 注重 了 性 能 、 稳 定性 以 及 对 便 件 的 文 持 。 由 于 企业 
版 操作 系统 的 开 必 周期 较 长 ， 注 重 性 能 、 稳 定性 和 服务 端 软件 文 持 ， 因 此 版 本 更 新 相对 较 绥 慢 。 
一 般 分 为 三 个 版 本 AS (Advanced Server?) ~ ES (Entry Server) 和 WS (Workstation Server) 。 
2010 年 11 月 10 H, Red hat 公司 正式 发 行 了 RHEL 6 版 本 。 


2. Fedora Core/Fedora 


Fedora Core/Fedora 是 众多 Linux 发 行 套 件 之 一 (请 参见 图 4-3 所 示 的 经 典 图 标 )。 它 是 一 套 
从 Red Hat Linux 发 展 出 来 的 免费 Linux R. Fedora Core HJ ATF Wt Red Hat Linux。2003 年 9 
d 红 帆 公司 (Red Hat) 突然 宣布 不 再 推出 个 人 使 用 的 发 
行人 套件 而 专心 发 展商 业 版 本 (Red Hat Enterprise Linux) 的 
但 是 红 帆 公司 也 同时 宣布 将 原 有 的 Red Hat 
Linux 开发 计划 和 Fedora 计划 整合 成 一 个 新 的 Fedora 
Project, Fedora Project 将 会 由 红 帆 公司 赞助 ， 以 Red Hat 
Linux 9 为 范本 加 以 改进 ， 原 本 的 开发 团队 将 会 继续 参与 
Fedora 的 开发 计划 ， 同 时 也 辟 励 开放 原始 公社 群 参与 开 友 
工作 。 目 Fedora Core 6 之 后 的 版 本 都 更 名 为 Fedora All 
Fedora 7) 。 现 在 Fedora 最 稳定 的 版 本 是 Fedora 10 (Fedora 
11 仍旧 处 于 Beta 测试 版 本 阶段 ) 。 
Fedora Core/Fedora 无 论 从 稳定 性 、 口 碑 以 及 可 管理 性 方面 ， 都 极 大 地 继承 了 以 前 Red Hat 
Linux 的 优 民 传 统 ， 所 谓 “ 育 出 于 览 而 胜 于 更 ”， 目 前 它 已 经 成 为 Linux 操作 系统 众多 发 行 套 件 
中 最 炙手可热 的 一 种 。 


3. CentOS 
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图 4-3 Fedora Core/Fedora Linux 图 标 




















CentOS (Community Enterprise Operating System) 是 一 个 基于 Red Hat 企业 级 Linux 提供 
的 可 目 由 使 用 的 源 代码 企业 级 的 Linux. 肥 行 版 本 ,每 个 版 本 的 CentOS. 都 会 获得 七 年 的 文 持 ( 通 
过 安全 更 新 方式 ) 。 新 版 本 的 CentOS 每 两 年 发 行 一 次 ， 而 每 个 厂 本 的 CentOS 会 定期 (大 概 
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每 六 个 月 ) 更 新 一 次 ， 以 便 文 持 新 的 人 硬件。 这样， 建立 了 一 个 安全 、 低 维护 、 稳 定 、 高 预测 性 、 
高 重复 性 的 Linux 环境 。 
CentOS 是 Linux 发 行 版 之 一 ， 它 是 来 日 于 Red Hat Enterprise Linux 依照 开放 源 代码 规定 释 
出 的 源 代码 所 编译 而 成 。 由 于 出 自 同样 的 源 代码 ， 因 此 有 些 要 求 高 度 稳定 性 的 服务 器 以 CentOS 
TINI MEUS] Red Hat Enterprise Linux 使 用 。 两 者 的 不 同 在 于 CentOS 并 不 包含 封闭 源 代码 软件 。 
CentOS 是 一 个 开源 软件 贡献 者 和 用 户 的 社区 。 它 对 RHEL 源 代码 进行 重新 编译 ， 成 为 众多 
发 布 新 发 行 版 本 的 社区 当中 的 一 个 ， 并 且 在 不 断 的 发 展 过 程 中 ，CentOS 社区 不 断 与 其 他 的 同类 
社区 合并 ， 使 CentOS Linux 逐渐 成 为 使 用 最 广泛 的 RHEL WAIMA. CentOS Linux 的 稳定 性 不 
比 RHEL 差 ， 唯 一 不 足 的 就 是 缺乏 技术 文 持 ， 因 为 它 是 由 社区 发 布 的 免费 版 。 
CentOS Linux 与 RHEL 产品 有 着 严格 的 版 本 对 应 关系 , 例如 使 用 RHELA 源 代 码 重 新 编译 发 
布 的 是 CentOS Linux 4.0, RHELS 对 应 的 是 CentOS Linux 5.0, RHEL6 对 应 的 是 CentOS Linux 6. 
由 于 RHEL 产品 的 生命 周期 较 长 (通常 具有 3 一 5$ 年 的 官方 支持 ) ， 因 此 Red Hat 公司 在 RHEL 
系列 产品 发 布 后 每 隅 一 段 时 间 ， 都 会 将 累积 的 更 新 程序 重新 打包 成 为 更 新 的 发 行 厂 进行 发 布 , 通 
常 称 为 RHEL Update。 例 如 ，RHELS 的 第 一 个 更 新 版 本 叫做 RHEL 5 Update 1， 用 户 通 常 也 称 为 
RHEL 5.1. 对 Red Hat 公司 发 布 的 每 一 个 RHEL Update CentOS 社区 都 会 发 布 对 应 的 更 新 发 行 版 ， 
例如 根据 RHEL 5 的 Update 1 更 新 程序 源码 包 ，CentOS 会 重新 编译 并 打包 发 布 CentOSLinux 5.1 
版 。CentOS Linux 和 与 之 对 应 版 本 号 的 RHEL 发 行 版 具有 软件 包 级 别 的 二 进 制 兼容 性 ， 即 某 个 
RPM 软件 包 如 果 可 以 安装 运行 在 RHEL 产品 中 ， 束 可 以 正常 地 安装 运行 在 对 应 版 本 的 CentOS 
Linux 中 。CentOS Linux 由 于 同时 具有 与 RHEL 的 羔 容 性 和 企业 级 应 用 的 稳定 性 ， 叉 允许 用 户 目 
由 使 用 ， 因 此 得 到 了 越 来 越 广泛 的 应 用 。 
CentOS 的 主要 特点 如 下 。 
mn 可 以 把 CentOS 理解 为 Red Hat AS 系列 ! 它 完全 就 是 对 Red Hat AS 进行 改进 后 发 布 的 ! 
各 种 操作 、 使 用 和 Red Hat 没有 区 别 ! 

a CentOS 完全 免费 ， 不 存在 Red Hat ASA 需要 序列 与 的 问题 。 

mn — CentOS 独 有 的 yum 命令 文 持 在 线 升 级 ， 可 以 即时 更 新 系统 ， 不 像 Red Hat 那样 需要 花 
钱 购 买 文 持 服务 ! 

a CentOS 修正 了 许多 Red Hat AS 的 BUG! 

mn — CentOS 版 本 说 明 : CentOS3.1 等 同 于 Red Hat AS3Updatel, CentOS3.4 等 同 于 Red Hat 
AS3 Update4, CentOS4.0 等 同 于 Red Hat AS4。 

虽然 说 CentOS 只 是 RHEL 的 克隆 、CentOS 社区 发 生 过 险些 解散 的 危机 ， 但 是 我 们 不 得 不 
承认 CentOS 确实 是 一 个 相当 不 错 的 Linux 企业 级 发 
- 至 少 它 满足 了 企业 的 需求 ， 还 为 企业 节省 了 eom v 

。 不 过 作为 企业 的 技术 负责 人 来 讲 ， 在 选 "riv Ce E yt OS 
Bre oH Hus 还 需要 经 过 深思 熟 夸 ， 毕 竟 企 业 The rn EN eria 
需要 长 久 发 展 。 

如 图 4-4 所 示 是 CentOS 的 图 标 。 

4. Debian 


Debian 拥有 很 长 的 发 展 历史 ，Debian Project 诞生 于 1993 年 8 月 13 日， 它 的 目标 是 提供 一 






























































图 4-4 CentOS 图 标 
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个 稳定 容错 的 Linux 版 本 。 截 全 目前 ，Debian 最 狐 的 正式 发 行 版 版 
本 号 是 4.0， 其 最 后 一 次 更 新 发 生 在 2008 年 10 月 23 日 。 在 发 展 初 
HH, SFF Debian 的 不 是 东家 公司 ， 而 是 许多 在 其 改进 过 程 中 投入 
了 大 量 时 间 的 开发 人 员 ， 这 种 改进 吸取 了 早期 Linux 的 经 验 ， 因 而 
发 展 也 较为 迅猛 。 图 4-5 所 示 Debian 的 图 标 。 

Debian 以 其 稳定 性 著称 , 虽然 它 的 早期 版 本 Slink 有 一 些 问题 ， 
但 是 它 的 现 有 版 本 Potato 已 经 相当 稳定 了 。 这 个 版 本 更 多 地 使 用 debi an 
pluggable authentication modules (PAMO , A J — €E 5 FARE 
的 需要 认证 的 软件 (如 winbind for Samba) 。 在 众多 Linux 发 行 版 ”图 4.5 Debian Linux 图 标 
H, Debian Linux 的 显 闭 特点 是 拥有 十 分 完善 易 用 的 包 管 理 机 制 ， 
非常 容易 维护 。 男 外 ，Debian Linux 由 开源 社区 维护 , 免费 友 行 ,是 一 个 开放 源 代 人 码 的 操作 系统 。 
它 由 许多 志愿 者 维护 ， 是 真正 的 非 商 业 化 Linux. 

另外 ，Debian Linux 是 最 流行 的 Linux 发 行 版 之 一 。 基 于 Debian， 衍 生 了 众多 其 他 的 分 文 
Linux 发 行 版 本 。Debian GNU/Linux 不 单 是 个 操作 系统 ， 人 们 真正 需要 的 是 应 用 软件 ， 也 驶 是 大 
助 他 们 完成 工作 的 程序 ， 因 此 ， 从 文档 编辑 ， 到 电子 商务 ， 到 游戏 娱乐 ， 到 软件 开 友 ，Debian 
为 用 户 市 来 了 超过 18733 个 软件 包 《〈 为 了 能 在 用 户 的 机 器 上 轻松 地 安 骤 ， 这 些 软件 包 者 已 经 被 纺 
译 包 涛 为 一 种 方便 的 格式 ) ， 并 且 这 些 全 部 都 是 和 目 由 软件 。 

Debian 主要 通过 基于 Web 的 论坛 和 邮件 列表 来 提供 技术 文 持 。 作 为 服务 器 平台 ，Debian pë 
供 一 个 稳定 的 环境 。 为 了 保证 它 的 稳定 性 ， 开 发 者 不 会 在 其 中 随意 添加 狐 技 术 ， 而 是 通过 多 次 测 
试 之 后 才 选 定 合适 的 技术 加 入 。 

5. Ubuntu 


Ubuntu HAm e ERKAMA, HAARAF 2004 年 10 H 20 日 发 布 ， 并 以 Debian 为 
开发 监 本 。 有 目前 其 最 新 版 本 为 8.0.4〈 请 参见 图 4-6 所 示 的 Ubuntu 图 标 ) 。 其 以 每 六 个 月 发 布 一 
次 新 版 本 为 目标 ， 因 此 使 得 人 们 能 够 得 以 更 快捷 和 迅速 地 获 
取 新 软件 和 享受 心得 功能 特性 .Ubuntu 的 每 个 狐 版 本 均 会 包 
含 最 新 版 本 的 GNOME 桌面 环境 , 并 且 会 在 GNOME 发 布 新 
厂 本 后 一 个 月 内 发 行 。 与 以 往 基 于 Debian 的 Linux 发 行 版 (如 
MEPIS, Xandros, Linspire, Progeny 与 Libranet) 等 比较 起 
XK, Ubuntu 更 接近 Debian 的 开发 理念 ， 因 为 其 主要 使 用 目 
由 与 开源 软件 。 

Ubuntu 的 软件 套件 主要 是 基于 Debian 的 不 稳定 分 文 进 
行 开 发 。 在 开发 过 程 中 ，Ubuntu 会 将 所 有 对 软件 套件 的 修改 
及 时 间 Debian 作出 回 饥 。 并 且 ， 很 多 Ubuntu 的 开发 者 均 为 
Debian 的 主要 软件 套件 的 维护 者 。 然 而 ，Debian 与 Ubuntu 
的 软件 僚 件 并 不 一 定 与 对 方 莱 容 。 

Ubuntu 十 分 注重 系统 的 安全 性 ， 它 采用 Sudo TH, 规定 所 有 系统 相关 的 任务 均 需 使 用 此 指 
令 并 输入 密码 才能 进行 下 一 步 工作 , 因此 比 起 传统 以 登录 系统 管理 员 账 号 进行 管理 工作 具有 更 好 
的 安全 性 。 同 时 ，Ubuntu 也 非常 注 章 系统 的 可 用 性 ， 它 的 设计 目标 是 在 Ubuntu 系统 标准 安装 完 






















































































图 4-6 Ubuntu Linux 图 标 
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成 后 束 可 以 为 使 用 者 立刻 投入 使 用 。 因 此 ， 从 开发 流程 和 设计 思路 上 来 看 ，Ubuntu 都 是 Debian 
的 改进 版 本 ， 且 相对 有 较 高 的 稳定 性 、 可 用 性 和 管理 性 。 
6. SuSE Linux 


SuSE Linux 原 是 以 Slackware Linux 为 基础 ， 并 提供 完整 的 使 用 界面 的 产品 。1992 年 Peter 





















































McDonald 发 布 了 Softlanding Linux System (SLS) 发 行 版 。 这 套 发 行 厂 包 含 的 软件 非常 多 ， 更 首 
次 收录 了 X Window 及 TCP/IP 等 套件 。Slackware 就 是 一 个 基于 SLS 的 发 行 版 。SuSE 于 1992 年 
末 创 办 ， 目 的 是 成 为 UNIX 技术 公司 ， 专 门 是 为 德国 人 

推出 量 身 定做 的 SLS/Slackware 软件 及 UNIX/Linux 说 明 © 
文件 。1994 年 ， 他 们 首次 推出 了 SLS/Slackware 的 安装 

JCE, MZN S.u.S.E. Linux 1.0。 其 后 ， 它 义 进一步 综 

tr | Florian La Roche 的 Jurix distribution 〈 也 是 一 个 基 

T Slackware 的 发 行 版 ) F 1996 年 推出 一 个 完全 自家 

打造 的 发 行 版 本 一 一 S.u.S.E. Linux 4.2。 其 后 SuSE Linux S Uu S - 
汲取 和 采纳 了 Red Hat Linux 的 不 少 特 点 和 技术 。 请 参 图 47 SuSE Linux 图 标 

见 图 4-7 所 示 的 SuSE Linux 图 标 。 

Novell 日 前 发 布 了 SuSE Linux 的 最 新 版 本 10.1， 这 是 SuSE Linux 与 开源 社区 完全 合作 以 来 
产生 的 第 一 个 版 本 ,提供 了 一 切 为 用 户 开 始 和 掌握 Linux 所 准备 的 功能 。10.1 中 加 入 了 上 所 有 最 新 的 
Linux 功能 ， 包 括 虹 和 面 搜索 、 图 形 界面 和 Windows 程序 兼容 性 等 许多 技术 。 无 论 是 用 于 个 人 网 络 
服务 器 、 开 发 环境 ， 还 是 基本 的 计算 功能 ， 用 户 都 能 在 其 中 发 现 日 己 所 需要 的 技术 和 应 用 。10.1 
中 包含 了 1500 多 个 软件 包 ， 为 用 户 提 供 完 整 的 加 面 效果 ， 包 括 OpenOffice.org BF, Firefox X 
Wd. GAIM 即时 通讯 客户 问 、 多 媒体 工具 、 图 像 处 理 软件 、 最 新 的 虚拟 机 软件 ， 以 及 簇 状 文 件 
系统 技术 等 。 
7. Mandriva 





Mandriva Linux 的 前 身 是 欧洲 最 大 的 Linux 厂商 之 一 Mandrakesoft 的 产品 Mandrake 
LinuxTemplate:Fact。Mandrake Linux 早期 方便 的 字体 安装 工具 和 默认 的 中 文 文 持 ， 为 Linux 普及 
作出 了 很 大 的 贡献 。 但 是 2004 年 前 后 Mandrakesoft 陷入 财务 和 危机， 濒临 破产 。 公 司 于 2005 年 2 
月 24 日 与 拉丁 美洲 最 大 的 Linux 厂商 Conectiva 达成 了 收购 协议 ， 金 额 为 170 万 欧元 ， 约 合 223 
万 美元 ， 以 股票 形式 交易 ， 新 公司 Mandriva 旗下 品牌 Mandrake Linux 更 名 为 Mandriva Linux. 
其 实 最 早 Mandrake 的 开发 者 是 基于 Red Hat 进行 开发 的 。Red Hat 默认 采用 GNOME 桌面 系统 ， 
而 Mandrake 将 之 改 为 KDE。 而 由 于 当时 的 Linux 普遍 比 


较 难 安装 , 不 适合 第 一 次 接触 Linux 的 新 手 , 所 以 Mandrake Of _ 
还 简化 了 安装 系统 。 _ Mandriva 


Mandriva 的 官方 网 站 是 http:/www.mandriva.com/， 其 图 4-8 Mandriva 图 标 
标志 性 图 标 如 图 4-8 所 示 。 


4.1.6 ”企业 的 选择 : Fedora vs Red Hat Enterprise Linux 








Red Hat Linux AJIWEKE. AAR. AW TR—IUXTEfü Linux， 那 么 建议 首先 使 用 
Fedora Core, Fedora Core 安装 简单 ， 对 便 件 支持 很 好 ， 界 面 华丽 ， 适 合 习 惯 Windows 操作 习惯 
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的 用 户 接受 ， 同 时 也 可 以 体验 Red Hat Linux 的 最 新 功能 ;， 如 来 对 Linux 有 一 定 的 了 解 ， 需 要 深 
入 学 习 ， 建 议 使 用 CentOS 系统 ， 因 为 可 以 随 总 在 网 上 获取 安装 程序 ， 不 需要 授权 和 注册 ， 功 能 
和 RHEL 基本 完全 类 似 ; 如 果 是 在 做 Linux 企业 级 应 用 和 部 署 ， 建 议 使 用 RHEL 版 本 。 





EET Linux 内 核 版 本 选择 


严格 地 说 ，Linux 是 在 GPL (GNU General Public License) 有 版权 协 议 下 发 行 的 操作 系统 内 核 ， 
其 版 权 属于 Linus Torvalds。 我 们 通常 所 说 的 Linux 是 指 包 含 kernel (内 核 ) utilities (系统 工具 
程序 ) 以 及 application〈 应 用 软件 ) 的 一 个 完整 的 操作 系统 ， 它 实际 上 是 Linux 的 发 行 版 本 ， 是 
某 些 公司 或 组 织 把 Linux 内 核 、 源 代码 以 及 相关 的 应 用 程序 组 织 在 一 起 发 行 。 国 际 上 比较 著名 的 
Linux 发 行 版 本 有 Red Hat、SlackWare、Debian、Fedora、Ubuntu 等 。 国 内 也 有 不 少 Linux 的 发 
行 版 本 ， 其 中 最 为 著名 的 首 推 北京 中 科 红 旗 软 件 技 术 有 限 公 司 发 布 的 红旗 Linux. 

Linux 是 UNIX 的 “克隆 ”， 在 源 代 人 码 级 上 兼容 绝 大 部 分 的 UNIX 标准 〈 如 IEEE POSIX, 
System V. BSD 等 ) ， 并 且 符 合 POSIX 规范 。 例 如 对 于 System V 来 说 ， 把 其 上 的 程序 源 代 人 码 拿 
到 Linux 下 重新 编译 后 就 可 以 运行 ， 而 对 于 BSD UNIX 来 说 ， 它 的 可 执行 文件 可 以 直接 在 Linux 
环境 下 运行 。 

震 要 说 明 的 是 ，GPL 同 其 他 的 目 由 软件 许可 证 一 样 ， 许 可 公众 享有 运行 、 复 制 软 件 的 目 由 ， 
发 行 传播 软件 的 目 由 ,获得 软件 源码 的 自由 ,改进 软件 并 将 目 己 做 出 的 改进 版 回 社 会 发 行 传播 的 
自由 。 

由 于 Linux 的 源 程 序 是 完全 公开 的 , 任何 人 只 要 遵循 GPL, 就 可 以 对 内 核 加 以 修改 并 发 布 给 
他 人 使 用 。Linux 内 核 的 版 本 在 发 行 上 有 目 己 的 规则 ， 可 以 从 其 版 本 号 加 以 识别 。 版 本 号 的 格式 
A *"xyyzz". HFP xF 0-92], m yy. zz 则 介 于 0—99 之 间 。 通 第 数学 越 大 说 明 版 本 越 
高 。 而 且 它 有 一 个 非常 简单 的 编号 约定 : 任何 偶数 的 核心 (例如 2.0.30) 都 是 一 个 稳定 地 发 行 的 
核心 ， 而 任何 奇数 的 核心 《例如 2.1.42) 都 是 一 个 开发 中 的 核心 ， 用 以 进行 最 新 功能 的 测试 ， 不 
建议 初学 者 和 生产 过 程 中 使 用 。 一 些 版 本 号 后 面 有 时 会 见 到 pNN 的 字样 , NN 是 介 于 0 一 20 之 间 
的 数学 ， 它 代表 对 某 一 版 本 的 内 核 “ 打 补 汪 ”或 者 是 修改 的 次 数 。 

Linux 内 核 版 本 发 布 的 官方 网 站 是 http://www.kernel.org。 新 版 本 的 内 核 分 两 种 ， 一 种 是 fall 
Source 版 本 ， 另 外 一 种 是 patch 文件 ， 即 和 补丁。 完整 的 内 核 版 本 比较 大 ,一般 是 tar.gz 或 者 是 .bz2 
文件 ， 二 者 分 别 是 使 用 gzip 或 者 bzip2 进行 压缩 的 文件 ， 使 用 时 需要 解压 缩 。patch 文件 则 比较 
小 ， 一 般 只 有 几 十 KB 到 儿 百 KB， 但 是 patch 文件 是 针对 于 特定 的 版 本 的 ， 用 户 需 要 找到 目 己 
对 应 的 版 本 才能 使 用 。 


ETE Linux 服务 器 选 型 


可 以 在 32 位 的 Intel 和 兼容 的 处 理 器 染 构 (包括 AMD 处 理 右 ) 以 及 64 位 处 理 器 架构 ， 例 

如 AMD64 处 理 右 和 使 用 英特尔 EM64T 技术 的 英特尔 处 理 器 上 安装 Fedora/RHEL。 在 这 些 处 理 

PAI Lis Fedora/RHEL 可 用 的 大 部 分 便 件 , 你 可 以 查看 hardware.redhat.com 的 Fedora/RHEL 

的 兼容 和 文 持 的 便 件 列表 。 虽 然 这 些 也 涉及 RHEL, 但 它们 对 Fedora 在 什么 上 面 运行 将 给 予 一 个 
109 
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很 好 的 指导 。 发 行 说 明 还 提供 硬件 信息 。 许 多 互联 网 网 站 讨论 Linux WF; H Google 
(www.google.com) 搜索 Linux 的 便 件 文 持 、Fedora 的 便 件 或 者 你 想 了 解 更 多 Linux 和 特定 的 便 
件 信 息 〈 例 如 ,Linux SATA 或 Linux a8n) 。 此 外 , 许多 HOWTO XEFE IA TE J FFE ME o Linux 
便 件 兼容 性 指南 也 可 以 参考 ， 虽 然 它 可 能 不 是 当时 最 新 的 。Fedora/RHEL 一 般 和 Windows 运行 
在 同一 系统 ， 除 非 该 系统 包括 一 个 很 新 的 或 不 同 寻 负 的 组 件 。 

运行 Fedora/RHEL 所 需 的 便 件 取决 于 你 要 设置 成 哪 一 种 系统 。 一 个 运行 文本 《命令 行 ) 界 
面 并 装 有 极 少 软件 包 的 很 小 系统 ， 和 一 个 运行 GUI 的 系统 、Apache Web 服务 器 系统 、 安 猜 许多 
软件 包 的 系统 所 需 的 硬件 是 有 很 大 不 同 的 。 

网 络 连接 对 你 持 Fedora/RHEL 版 本 的 最 独 是 非 第 重要 的 。 声 卡 ( 或 主板 上 的 首 效 已 片 ) 是 
不 错 的 多 媒体 应 用 。 如 果 你 是 在 旧 的 或 最 小 的 便 件 上 安 狠 Fedora， 并 且 要 运行 GUI， 可 以 考虑 安 
X LXDE (spins.fedoraproject.org/LXDE)〉， 因 为 它 提供 了 一 个 轻 量 级 的 果 和 而 ， 它 比 GNOME 能 
够 更 有 效 地 使 用 系统 资源 。 


4.3.1 CPU ( 处 理 器 ) 


























Fedora 至 少 需要 英特尔 奔腾 Pro 处 理 器 ， 它 是 对 i686 和 以 后 的 处 理 器 进行 了 优化 。 建 议 文 
本 系统 的 处 理 器 速度 最 低 为 200MHz、 图 形 系 统 最 低 为 400MHz。 了 RHEL 系统 的 信息 请 参阅 


www .redhat.com/rhel/compare. 


4.3.2 RAM ( AE) 





安装 32 位 和 64 位 的 Fedora 系统 内 存 的 要 求 是 相同 的 , 文本 (命令 行 ) 系统 全 少 需 要 256MB 
HJ RAM, KHERA CEIL 的 RAM 需要 384—512MB. 在 某 些 情况 下 ， 安 状 一 个 很 小 的 文本 
系统 你 可 以 用 较 少 的 RAM, RHEL 系统 的 信息 请 参阅 www.redhat.com/rhel/compare。 

运行 一 个 live CD 需要 全 少 256MB 的 内 存 。 

Linux 能 够 充分 使 用 额外 的 内 存 : 一 个 系统 拥有 更 多 的 内 存 ， 它 运行 的 速度 束 越 快 。 扩 展 内 
存 是 性 价 比 最 好 的 Linux 系统 提速 方法 之 一 。 


4.3.3 ”处 理 器 架构 


Fedora/RHEL CD 和 DVD 采用 在 一 个 特定 的 处 理 器 架构 (类 处 理 占 或 CPU) 上 进行 编译 的 
方案 。 下 面 列表 描述 了 每 个 架构 的 Fedora/RHEL 编译 。 每 个 架构 处 理 器 的 详细 清单 参见 
docs.fedoraproject.org/en-US/Fedora/15/html/Installation Guide/ch-new-users.html#sn-which-arch。 由 
于 大 家 可 获得 Linux 的 源 代码， 一 个 具有 一 定 水 平 的 用 户 可 以 在 其 他 处 理 占 架构 上 编 详 运行 
Fedora/RHEL. 

如 何 确 定 在 一 个 64 位 的 处 理 器 上 应 该 安装 32 位 的 还 是 64 位 的 Fedora/ RHEL? 以 下 信息 可 
能 会 帮助 你 做 出 决定 ， 在 一 个 64 位 的 处 理 器 上 是 要 安装 32 位 的 还 是 64 位 的 Fedora/RHEL。 

a ”EM64T/AMD64 处 理 器 可 以 出 色 地 运行 任何 版 本 的 Fedora/RHEL. 

a ”64 位 分 布 式 , 可 以 使 每 个 进程 寻 址 超过 4 GB 的 RAM。 更 大 的 地 址 空间 是 64 位 分 布 式 

的 最 大 优势 。 仅 在 针对 某 个 工程 /科学 计算 工作 ， 或 者 当 你 运行 多 个 虚拟 机 时 ，64 位 分 
布 式 通 第 是 有 用 的 。 
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a — RRE, — A 64 NABPESSBJXEBEJPASEG 32 位 处 理 器 的 速度 快 ， 大 多 数 基 准 显 示 或 
多 或 少 性 能 相似 。 在 东 些 情况 下 性 能 好 ， 而 在 攻 些 情况 下 性 能 粮 ， 两 种 类 型 的 处 理 各 
并 没有 明显 的 性 能 差异 。 

a 64 位 Linux 的 内 存 模型 ， 地 址 指针 比 32 位 Linux 的 大 两 倍 。 这 种 大 小 差异 使 得 内 存 使 
用 率 增 加 超过 5%， 这 取 雇 于 运行 的 应 用 程序 。 如 采 系 统 内 存 不 足 ， 这 种 开销 可 能 使 性 
能 恶化 。 

= — ASLR (地址 空间 布局 随机 化 ) 能 够 与 64 位 Fedora/RHEL 提供 的 更 大 地 址 空间 更 好 地 
运行 。ALSR 还 可 以 帮助 提高 系统 的 安全 性 。 参 见 en.wikipedia.org/wiki/Address_space 
layout randomizationen.wikipedia.org/wiki/Address space layout randomization 。 











— 


= 64 位 的 Fedora/RHEL， 一 些 多 媒体 编码 器 的 运行 速度 可 提高 1096 — 3096. 

m 由 于 更 多 的 人 正在 使 用 32 位 Linux, 32 位 Linux 的 错误 比 64 位 Linux 的 往往 更 易于 发 
现 和 快速 修复 。 

a 在 64 位 的 FedoraRHEL 上 你 可 以 和 在 32 位 系统 一 样 只 需 点 击 一 下 , Ln] DAY Flash 
Player 和 Java。 然 而 对 于 某 些 应 用 ， 如 Skype， 你 必须 应 用 困难 的 工作 环境 来 在 64 位 
系统 上 运行 它们 。 

a 专 有 的 第 三 方 应 用 程序 的 某 些 功能 在 64 位 架构 上 不 可 用 。 

a 没有 简单 的 方法 ,在 无 须 重 新 安装 Fedora/RHEL 的 情况 下 ，Fedora/RHEL 的 32 位 和 64 
位 版 本 之 间 来 回 切换 。 

四 如 果 你 不 能 确定 使 用 哪 种 版 本 ， 请 安装 32 位 版 本 的 Fedora/RHEL。 

1386/1686 (Intel x86) 

Fedora/RHEL32 位 个 人 电脑 CD/DVD 上 的 软件 是 为 Intel x86 兼容 处 理 器 编译 运行 的 ， 包 括 

大 部 分 Intel 和 AMD 处 理 堪 ， 其 中 几乎 所 有 的 机 喜 都 在 运行 Microsoft Windows， 同 时 使 用 Intel 
处 理 右 的 还 有 一 些 较 新 的 苹果 Macintosh 计算 机 。 N IZ 系列 Atom Ab gs 2645 ] XX PART. 
如 果 你 不 知道 机 器 的 处 理 占 是 哪 种 类 型 的 ， 那 束 假 设 它 是 这 种 类 型 的 处 理 右 。 

x86 64 (AMD64 和 Intel EM64T) 

Fedora/RHEL 64 位 CD/DVD 上 的 软件 是 为 Athlon64 处 理 器 编译 运行 的 ， 包 括 Athlon64、 
Opteron 和 Intel64 位 处 理 占 ， 它 们 采用 EM64T 技术 ， 如 EMT64 至 强 。230 和 330 系列 的 Atom 
处 理 需 也 是 基于 这 种 架构 的 。 

苹果 的 PowerPC (PPC) 

Fedora/RHEL 的 PPC 发 行 版 运行 于 苹果 Macintosh G3. G4. G5. PowerBook 和 基于 PPC 的 
Macintosh 版 本 。 


4.3.4 服务 器 类 型 选 型 


目前 市 面 上 的 服务 套 琳 环 满 目 ， 且 分 闫 方法 也 不 一 而 足 。 企 业 用 户 在 为 目 己 的 应 用 选择 服务 
天 时 总 是 不 知 所 指 ， 无 法 做 出 合理 的 决策 。 下 面 将 从 架构 和 应 用 层次 两 方面 来 介绍 当前 服务 谷 的 
主流 分 类 方法 ， 并 介绍 其 特点 ， 以 帮助 读者 朋友 来 为 目 己 的 应 用 正确 融 效 地 选择 服务 占 产 品 。 

1. 按照 架构 选择 服务 器 


各 种 巡 体 上 经 营 按 搭 式 、 机 架 式 和 刀片 式 这 三 种 结构 来 划分 服务 器 。 服 务 器 的 外 形 为 什么 会 
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有 这 样 的 划分 呢 ? 主要 原因 就 是 具体 的 应 用 环境 不 同 。 

塔 式 服务 器 形似 我 们 平时 用 的 台式 机 ， 占 用 空间 比较 大 ， 一 般 是 一 些小 型 企业 自己 使 用 、 自 
己 维护 ; 

机 架 式 服务 器 长 得 就 像 卧 着 的 台式 机 ,可 以 一 台 一 台地 放 到 固定 机 架 上 ， 因 此 而 得 名 ， 它 可 
以 在 专业 的 服务 器 托管 提供 商 那里 进行 托管 ， 这 样 每 年 上 只 需 文 付 一 定 的 托管 费 ， 就 免 去 了 自己 管 
理 服务 器 的 诸多 不 便 。 

刀片 式 服务 器 是 近 几 年 才 比 较 流行 的 一 种 服务 器 架构 , "dS SS. 可 以 一 片 一 片 地 舍 放 在 机 
柜上 ， 通 过 群集 技术 进行 协同 运算 ， 能 够 处 理 大 量 的 任务 ， 特 别 适合 分 布 式 服 务 ， 如 作为 Web 
服务 器 。 

D BARS 

塔 式 服务 器 应 该 是 大 家 见得 最 多 , 也 最 容易 理解 的 一 种 服务 器 结构 类 型 ， 因为 它 的 外 形 以 及 
结构 都 跟 我 们 平时 使 用 的 立 式 PC 差不多 ， 当 然 ， 由 于 服务 器 的 主板 扩展 性 较 强 、 插 槽 也 多 出 一 
堆 ， 所 以 个 头 比 普 通 主 板 大 一 些 ， 因 此 塔 式 服务 器 的 主机 机 箱 也 比 标 准 的 ATX 机 箱 要 大 ， 一 般 
都 会 预 留 足 够 的 内 部 空间 以 便 日 后 进行 硬盘 和 电源 的 见 余 扩 展 。 

由 于 塔 式 服务 器 的 机 箱 比较 大 ， 服 务 器 的 配置 也 可 以 很 高 ， 元 余 扩 展 更 可 以 很 齐备 ， 所 以 它 
的 应 用 范围 非常 三 ， 应 该 说 目前 使 用 率 最 高 的 一 种 服务 器 束 是 塔 式 服务 器 。 我 们 平时 常 说 的 通用 
服务 占 一 般 都 是 塔 式 服务 器 ， 它 可 以 集 多 种 常见 的 服务 应 用 于 一 映 , 不管 是 速度 应 用 还 是 存储 应 
用 都 可 以 使 用 塔 式 服务 器 来 解决 。 

就 使 用 对 象 或 者 使 用 级 别 来 说 , 目前 常见 的 入 门 级 和 工作 组 级 服务 器 基本 上 都 采用 这 一 服务 
器 结构 类 型 , 一 些 部 门 级 应 用 也 会 采用 , 不 过 由 于 只 有 一 台 主 机 , 即使 进行 升级 扩展 也 有 个 限度 ， 
所 以 在 一 些 应 用 需求 较 高 的 企业 中 ,单机 服务 器 就 无 法 满足 要 求 了 ， 需 要 多 机 协同 工作 ， 而 塔 式 
服务 器 个 头 太 大 ， 独 立 性 太 强 ,协同 工作 在 空间 占用 和 系统 管理 上 都 不 方便 ， 这 也 是 塔 式 服务 器 
的 局 限 性 。 

2) PLAIRA 

作为 为 互联 网 设计 的 服务 器 模式 ， 机 架 式 服务 器 是 一 种 外 观 按照 统一 标准 设计 的 服务 器 ,， 配 
合 机 柜 统 一 使 用 。 可 以 说 机 架 式 是 一 种 优化 结构 的 塔 式 服务 器 ， 它 的 设计 守则 主要 是 为 了 尺 可 能 
减少 服务 占 空 间 的 占用 ， 而 减少 空间 的 直接 好 处 束 是 在 机 房 托 管 的 时 候 价格 会 便宜 很 多 。 

之 所 以 说 机 架 式 服务 器 是 作为 为 互联 网 设计 的 服务 器 模式 ， 主 要 是 因为 很 多 专业 互联 网 设备 
都 是 采用 机 染 式 的 结构 (多 为 局 平 式 ) ， 如 交换 机 、 路 由 器 、 硬 件 防火 场 这 些 。 这 些 设 备 之 所 以 有 
这 样 一 种 结构 类 型 ， 是 因为 它们 都 按 国际 机 柜 标 准 进行 设计 ， 这样 大 家 的 平面 尺寸 就 基本 统一 ， 可 
一 起 安 状 在 一 个 大 型 的 立 式 标 准 机 柜 中 。 这 样 做 的 好 处 非常 明显 : 一 方面 可 以 使 设备 占用 最 小 的 空 
间 ， 另 一 方面 则 便于 与 其 他 网 络 设备 的 连接 和 管理 ， 同 时 机 房 内 也 会 显得 整洁 、 美 观 。 机 架 式 服务 
器 的 宽度 为 19 英寸 ， 高 度 以 UU 为 单位 (1U=1.75 英寸 =44.45 毫米 ) ， 通 常 有 1U、2U、3U、4U、 
5U. 7U 几 种 标准 的 服务 器 。 机 柜 的 尺寸 也 是 采用 通用 的 工业 标准 ， 通 党 从 22U —42U ASIE; 机柜 
内 按 U 的 高 度 有 可 拆 芭 的 请 动 托 架 ， 用 户 可 以 根据 自己 服务 器 的 标高 灵活 调节 局 度 ， 以 存放 服务 
器 、 集 线 露 、 和 磁盘 阵 列 柜 等 网 络 设备 。 服 务 器 摆 放 好 后 , 它 的 所 有 VO 线 全 部 从 机 柜 的 后 方 引 出 (机 
染 服 务 器 的 所 有 接口 也 在 后 方 )， 统 一 安置 在 机 柜 的 线 槽 中， 一 般 贴 有 标号 ， 便 于 管理 。 

现在 很 多 互联 网 的 网 站 服务 器 其 实 都 是 由 专业 机 构 (IDC) 统一 托管 的 ， 网 站 的 经 营 者 其 实 
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只 是 维护 网 站 页 面 ， 便 件 和 网 络 连 接 则 交 给 托管 机 构 有 负责， 因此， 托管 机 构 会 根据 受 管 服务 器 的 
高 度 来 收取 费用 ，1U 的 服务 器 在 托管 时 收取 的 这 用 比 2U 的 要 便宜 很 多 ， 这 束 是 为 什么 这 种 结 
构 的 服务 器 现在 会 广泛 应 用 于 互联 网 事业 。 

相 比 较 而 言 ， 机 架 式 服务 器 因为 空间 比 塔 式 服务 器 大 大 缩小 , 所 以 这 类 服务 喜 在 扩展 性 和 散 
热 问题 上 受到 一 定 的 限制 ， 配 件 也 要 经 过 一 定 的 并 选 ， 一 般 都 无 法 实现 太 完 整 的 设备 扩张 ， 所 以 
单机 性 能 惑 比较 有 限 ， 应 用 范围 也 比较 有 限 ， 上 只 能 专注 于 某 一 方面 的 应 用 ， 如 远程 存储 和 Web 
服务 的 提供 等 , 但 由 于 很 多 配件 不 能 采用 塔 式 服务 器 的 那 种 普通 型 号 , 而 自身 又 有 衬 间 小 的 优势 ， 
所 以 机 架 式 服务 器 一 般 会 比 同等 配置 的 塔 式 服务 器 中 20% 一 309%。 

至 于 空间 小 而 带 来 的 扩展 性 问题 ， 也 不 是 完全 没有 办 法 解决 。 由 于 采用 机 柜 安 装 的 方式 ， 
此 多 添加 一 个 主机 在 机 柜上 是 件 很 容易 的 事 , 然后 再 通过 服务 器 群集 技术 束 可 以 实现 处 理 能 力 的 
增强 。 如 果 是 采用 外 接 扩 展柜 的 方式 也 能 实现 大 规模 扩展 , 不 过 由 于 机 染 式 服务 器 单机 的 性 能 
限 ， 所 以 扩展 之 后 也 是 单方 面 的 能 力 得 到 增 倍 ， 所 以 这 类 服务 右 只 是 在 某 一 种 应 用 中 比较 出 色 ， 
大 家 就 把 它 划 为 功能 服务 器 ， 这 种 服务 器 针对 性 较 强 ， 一 般 无 法 移 做 它 用 。 

在 价格 方面 ， 机 架 式 服务 器 一 般 比 同等 配置 的 塔 式 服 务 器 贯 上 二 到 三 成 。 

3) 刀片 式 服务 器 

对 于 企业 和 网 络 信息 提供 商 来 说 , 无 限 增长 的 数据 必须 集中 存储 和 处 理 , 于 是 未 来 的 网 络 发 
展 呈 现 出 集中 计算 的 趋势 。 集 中 管理 模式 与 现 有 的 分 向 管理 模式 ， 对 服务 器 提出 了 新 的 要 求 : 市 
约 空间 、 便 于 集中 管理 、 易 于 扩展 和 提供 不 间断 的 服务 ， 成 为 对 下 一 代 服 务 器 的 新 要 求 。 

作为 网 络 重要 组 成 部 分 的 服务 器 来 说 , 性 能 已 不 仅仅 是 评价 服务 器 的 唯一 指标 了 , 用 户 更 关 
心 的 是 符合 目 己 实际 需要 的 产品 。 刃 片 式 服务 需 是 一 种 HAHD (High Availability High Density, 
ra HI HS REO 的 低 成 本 服务 器 平台 ， 是 专门 为 特殊 应 用 行业 和 高 密度 计算 机 环境 设计 的 。 其 中 
每 一 块 “刀片 ”实际 上 就 是 一 块 系统 主板 。 

它们 可 以 通过 本 地 硬盘 启动 自己 的 如 Windows 2000/2003. Linux. Solaris 等 ， 类 似 于 一 个 个 
独立 的 服务 器 。 在 这 种 模式 下 ， 每 一 个 主板 运行 目 己 的 系统 ， 服 务 于 指定 的 不 同 用 户 群 ， 相 互 之 
间 没 有 关联 。 不 过 可 以 用 系统 软件 将 这 些 主板 集合 成 一 个 服务 器 集群 。 

刀片 式 服务 器 比 机 架 式 服务 器 更 节省 空间 ， 同时， 散热 问题 也 更 突出 , 往往 要 在 机 箱 内 装 上 
大 型 强力 风 局 来 散热 。 此 型 服务 器 虽然 较 市 省 空间 , 但 是 其 机 柜 与 刀片 价格 都 不 低 ， 一 般 应 用 于 
大 型 的 数据 中 心 或 者 需要 大 规模 计算 的 领域 ， 如 银行 电信 金融 行业 以 及 互联 网 数据 中 心 等 。 

目前 ， 节 约 空 间 、 便 于 集中 管理 、 易 于 扩展 和 提供 不 间断 的 服务 ， 成 为 对 下 一 代 服 务 器 的 新 
要 求 ， 而 刀片 式 服务 器 正好 能 满足 这 一 需求 ， 因 而 刀片 式 服务 器 市 场 需求 正 不 断 扩 大 ， 有 共有 民 好 
的 市 场 前 景 。 

2. 按照 应 用 层次 选择 服务 器 


按 应 用 层次 划分 通常 也 称 为 “ 按 服 务 占 档次 划分 ”或 “ 按 网 络 规模 ”划分 ， 是 服务 右 最 为 普 
抽 的 一 种 划分 方法 ， 它 主要 根据 服务 占 在 网 络 中 应 用 的 层次 (或 服务 如 的 档次 ) 来 划分 的 。 要 注 
意 有 的 是 ， 这 里 所 指 的 服务 器 档次 并 不 是 按 服务 右 CPU 主 频 局 低 来 划分 ， 而 是 依据 整个 服务 占 的 
纱 合 性 能 ,特别 是 所 采用 的 一 些 服务 费 专 用 技术 来 衡量 的 。 按 这 种 划分 方法 ， 服 务 器 可 分 为 : 入 
门 级 服务 占 、 工 作 组 级 服务 融 、 部 门 级 服务 器 和 企业 级 服务 兹 。 
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1) 入 门 级 服务 此 

入 门 级 服务 强 通 昭 只 使 用 一 块 CPU, 并 根据 需要 配置 相应 的 内 存 〈 如 236MB ) 和 大 容量 IDE 
便 盘 ， 必 要 时 也 会 采用 IDE RAID“〔〈 一 种 磁盘 阵列 技术 ， 主 要 目的 是 保证 数据 的 可 靠 性 和 可 恢复 
性 ) 进行 数据 你 护 。 入 门 级 服务 占 主 要 是 针对 基于 Windows NT. NetWare 等 网 络 操作 系统 的 用 
户 ， 可 以 满足 办 公 室 型 的 中 小 型 网 络 用 户 的 文件 共享 、 打 印 服务 、 数 据 处 理 、Internet 接 入 及 简 
单数 据 库 应 用 的 需求 ， 也 可 以 在 小 范围 内 完成 诸如 E-mail, Proxy, DNS 等 服务 。 

对 于 一 个 小 部 门 的 办 公 和 需要 而 言 ， 服 务 器 的 主要 作用 是 完成 文件 和 打印 服务 。 文 件 和 打印 服 
务 是 服务 器 的 最 基本 应 用 之 一 ， 对 人 硬件 的 要 求 较 低 ， 一 般 采 用 单 颗 或 双 颗 CPU 的 入 门 级 服务 器 
即 可 。 为 了 给 打印 机 提供 足够 的 打印 缓冲 区 需要 较 大 的 内 存 , 为 了 应 付 频 蚂 和 大 量 的 文件 存 取 要 
求 有 快速 的 硬盘 子 系统 ， 而 好 的 管理 性 能 则 可 以 提高 服务 器 的 使 用 效率 。 

入 门 级 服务 器 所 连接 的 终 问 比较 有 限 ( 通 律 为 20 台 左 右 ) ， 况 且 在 稳定 性 、 可 扩展 性 以 及 
容错 了 见 余 性 能 较 关 ， 仅 适用 于 没有 大 型 数据 库 数 据 交 换 、 日 单 工作 网 络 流量 不 大 、 无 须 长 期 不 间 
汤 开 机 的 小 型 企业 。 不 过 要 说 明 的 一 点 就 是 ， 目 前 有 的 比较 大 型 的 服务 占 开 发 、 生 产 厂 商 在 后 面 
我 们 要 讲 的 企业 级 服务 器 中 也 划分 出 几 个 档次 , 其 中 最 低档 的 一 个 企业 级 服务 右 档 次 丈 是 称 之 为 
“入 门 级 企业 级 服务 器 ”， 这 里 所 讲 的 入 门 级 并 不 是 与 我 们 上 和 面 所 讲 的 “入 门 级 ”上 共有 相同 的 含 
义 ， 不 过 这 种 划分 的 还 是 比较 少 。 还 有 一 点 束 是 ， 这 种 服务 器 一 般 采 用 Intel 的 专用 服务 器 CPU 
心 片 ， 是 基于 Intel RA AE “IA 结构 ”) 的 ， 当 然 这 并 不 是 一 种 便 性 的 标准 规定 ， 而 是 由 于 
服务 右 的 应 用 层次 需要 和 价位 的 限制 。 

2) 工作 组 级 服务 需 

工作 组 级 服务 器 是 一 个 比 入 门 级 高 一 个 层次 的 服务 器 ,但 仍 属于 低档 服务 器 之 类 。 从 这 个 名 
学 也 可 以 看 出 ， 它 只 能 连接 一 个 工作 组 (50 £A) 那么 多 用 户 ， 网 络 规模 较 小 ， 服 务 器 的 稳 
定性 也 不 像 后 面 我们 要 讲 的 企业 级 服务 右 那 样 高 的 应 用 环境 , 当然 在 其 他 性 能 方面 的 要 求 也 相应 
要 低 一 些 ， 是 一 种 文 持 特定 的 一 组 用 户 并 为 用 户 提 供 字 处 理 和 文件 共 胖 等 功能 的 服务 右 ， 而 这 些 
服务 只 是 某 一 人 群 所 需要 的 。 工 作 组 级 服务 器 具有 以 下 几 方 面 的 特点 。 

a 通 币 仅 文 持 单 或 双 CPU 结构 的 应 用 服务 器 (但 也 不 是 绝对 的 , 特别 是 SUN WA e cr 

多 达 4 个 处 理 喜 的 工作 组 级 服务 器 ， 当 然 该 闫 型 的 服务 右 价 格 方面 也 束 有 些 不 同 了 ) 。 

a 可 文 持 大 容量 的 ECC. 内 存 和 增强 服务 器 管理 功能 的 SM 总 线 。 

a JERE JEA Ha TEP. 

= 采用 Intel 服 务 器 CPU 4I Windows / NetWare 网 络 操作 系统 ,但 也 有 一 部 分 是 采用 UNIX 

系列 操作 系统 的 。 

a 可 以 满足 中 小 型 网 络 用 户 的 数据 处 理 、 文 件 共享 、Internet 接 入 及 简单 数据 库 应 用 的 需求 。 

工作 组 级 服务 器 较 入 门 级 服务 器 来 说 性 能 有 所 提高 ， 功 能 有 所 增强 ， 有 一 定 的 可 扩展 性 , 但 
容错 和 克 余 性 能 仍 不 完善 ， 也 不 能 满足 大 型 数据 库 系 统 的 应 用 ,但 价格 也 比 前 者 中 许多 ,一般 相 
HF 2~3 台 融 性 能 的 PC 品牌 机 总 价 。 

3) 部 门 级 服务 占 

这 类 服务 占 是 属于 中 档 服务 器 之 列 ， 一 上 艇 都 是 支持 双 CPU 以 上 的 对 称 处 理 器 结构 ， 有 其 备 比 
较 完 全 的 硬件 配置 ， 如 磁盘 阵列 、 存 储 托 架 等 。 部 门 级 服务 器 的 最 大 特点 陨 是 ， 除 了 有 具有 工作 组 
服务 器 全 部 服务 器 特点 外 ， 还 集成 了 大 量 的 监测 及 管理 电路 ， 具 有 全 面 的 服务 器 管理 能 力 ， 可 监 
汕 如 温度 、 电 压 、 风 书 、 机 箱 等 状态 参数 ， 络 合 标准 服务 器 管理 软件 ， 使 管理 人 员 及 时 了 解 服务 
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器 的 工作 状况 。 同 时 ， 大 多 数 部 门 级 服务 器 具有 优 民 的 系统 扩展 性 ， 能 够 满足 用 户 在 业务 量 迅 速 
增 大 时 及 时 在 线 升 级 系统 ， 充 分 保护 了 用 户 的 投资 。 它 是 企业 网 络 中 分 散 的 各 基层 数据 采集 单位 
与 最 高 层 的 数据 中 心 保 持 顺 利 连通 的 必要 环节 ， 一 般 为 中 型 企业 的 首选 ， 也 可 用 于 金融 、 邮 电 等 
行业 。 

部 门 级 服务 器 一 般 采 用 IBM, SUN 和 HP 各 自 开发 的 CPU 芯片 ， 这 类 芯片 一 般 是 RISC £i 
构 ， 所 采用 的 操作 系统 一 般 是 UNIX 系列 操作 系统 ， 现 在 的 Linux 也 在 部 门 级 服务 器 中 得 到 了 广 
泛 应 用 。 以 前 能 生产 部 门 级 服务 器 的 厂商 通常 只 有 IBM、HP、SUN、COMPAQ【〔 现 在 也 已 并 入 
HP) 这么 儿 家 ， 不 过 现在 随 看 其 他 一 些 服务 器 钱 商 开发 技术 的 提 高 ， 现 在 能 开发 、 生 产 部 门 级 
服务 器 的 厂商 比 以 前 多 了 许多 。 国 内 也 有 好 儿 家 具备 这 个 实力 ， 如 联想 、 蜡 光 、 浪 潮 等 。 

部 门 级 服务 器 可 连接 100 个 左右 的 计算 机 用 户 , 适 用 于 对 处 理 速 度 和 系统 可 菲 性 高 一 些 的 中 
小 型 企业 网 络 ， 其 硬件 配置 相对 较 高 ， 其 可 靠 性 比 工作 组 级 服务 器 要 高 一 些 ， 当 然 其 价格 也 较 高 
(通常 为 5 台 左 右 高 性 能 PC 机 价格 总 和 ) 。 由 于 这 类 服务 器 需要 安装 比较 多 的 部 件 ， 所 以 机 箱 
通常 较 大 ， 采 用 机 柜 式 的 。 

4) 企业 级 服务 器 

企业 级 服务 器 是 属于 高 档 服 务 器 行列 ， 正 因 如 此 ， 能 生产 这 种 服务 器 的 企业 也 不 是 很 多 ， 但 
同样 因 没 有 行业 标准 人 硬件 规定 企业 级 服务 器 需 达 到 什么 水 平 , 所 以 现在 也 看 到 了 许多 本 不 具备 开 
发 、 生 产 企业 级 服务 器 水 平 的 企业 声称 自己 有 了 企业 级 服务 器 。 企 业 级 服务 器 最 起 码 是 采用 4 个 
以 上 CPU 的 对 称 处 理 器 结构 ， 有 的 高 达 几 十 个 。 另 外 一 般 还 具有 独立 的 双 PCI 通道 和 内 存 扩展 
板 设计 ,具有 高 内 存 带 宽 、 大 容量 热 插 拔 硬盘 和 热 插 拔 电源 、 超 强 的 数据 处 理 能 力 和 群集 性 能 等 。 
这 种 企业 级 服务 器 的 机 箱 就 更 大 了 , 一 般 为 机 柜 式 的 , 有 的 还 由 儿 个 机 柜 来 组 成 , 像 大 型 机 一 样 。 
企业 级 服务 器 产品 除了 其 有 部 门 级 服务 器 全 部 服务 器 特性 外 , 最 大 的 特点 束 是 它 还 具有 高 度 的 容 
昔 能 力 、 优 良 的 扩展 性 能 、 故 障 预 报警 功能 、 在 线 诊 断 和 RAM, PCI CPU 等 具有 热 插 拔 性 能 。 

有 的 企业 级 服务 器 还 引入 了 大 型 计算 机 的 许多 优 民 特 性 ， 如 IBM 和 SUN 公司 的 企业 级 服务 
器 。 这 类 服务 器 所 采用 的 必 片 也 都 是 几 大 服务 器 开发 、 生 产 广 商 上 自己 开发 的 独 有 CPU GA. PDA 
用 的 操作 系统 一 般 也 是 UNIX (Solaris) 或 Linux。 有 目前 在 全 球 范 围 内 能 生产 高 档 企 业 级 服务 器 的 
厂商 也 只 有 IBM、HP、SUN 这 么 几 家 ， 绝 大 多 数 国 内 外 广 家 的 企业 级 服务 器 都 只 能 算是 中 、 低 档 
企业 级 服务 器 。 企 业 级 服务 器 适合 运行 在 需要 处 理 大 量 数据 、 高 处 理 速度 和 对 可 靠 性 要 求 极 高 的 金 
融 、 证 券 、 交 通 、 邮 电 、 通 信和 或 大 型 企业 。 企 业 级 服务 器 用 于 联网 计算 机 在 数 百 台 以 上 、 对 处 理 速 
度 和 数据 安全 要 求 非常 高 的 大 型 网 络 。 企 业 级 服务 占 的 便 件 配置 最 高 ， 系 统 可 徘 性 也 最 强 。 


EVE Linux 安装 及 部 团 


4.4.1 注意 事项 


在 安 儿 部 普 之 有， 需要 考虑 以 下 儿 个 安装 时 的 选项 。 
1. 是 否 安装 SELinux 








































































































SELinux 〈 安 全 增强 型 Linux) 通过 在 Fedora/RHEL 的 内 核实 施 强 制 访 问 控制 策略 来 提高 系统 
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的 安全 性 。 默 认 情 况 下 ，Fedora Z2 SELinux 的 强制 模式 。 如 果 你 不 打算 使 用 SELinux， 你 可 以 在 
系统 安装 时 更 改 为 自由 模式 。 因 为 SELinux 在 文件 上 设置 扩展 属性 ， 使 SELinux 系统 上 的 安全 属 
性 关闭 可 能 是 一 个 耗 时 的 过 程 。 

2. 选择 安 闭 图 形 用 户 界 面 

在 大 多 数 系统 中 , 除了 用 于 服务 器 , 你 可 能 要 安 闭 一 个 图 形 用 户 界 面 ( 即 蝎 面 ) Fedora/RHEL 
安装 默认 为 GNOME。 

3. 选择 安装 软件 和 服务 

当 你 想 在 系统 上 安 闭 更 多 的 软件 包 ， 更 新 和 增加 的 软件 包 之 间 相 互 作用 。 监 听 网 络 连 接 的 服 
务 右 软件 包 增 加 系统 可 以 被 攻击 的 方式 ， 使 系统 更 加 脆弱 。 包 括 额 外 的 服务 ， 还 可 以 减 慢 系统 。 

如 果 你 想 开 发 系统 或 用 一 个 系统 来 学 习 ， 和 额外 的 软件 包 和 服务 可 能 是 有 用 的 。 对 于 一 个 更 安 
全 的 产品 系统 ， 最 好 是 安装 和 维护 所 宕 的 最 低 数 量 的 软件 包 ， 使 只 有 和 需要 的 服务 运行 。 


4.4.2 ”其 他 需求 









































1. 硬盘 空间 


Fedora/RHEL 需要 的 硬盘 空间 取决 于 你 安装 哪 一 个 版 本 的 Fedora/RHEL, 安装 哪些 软件 包 , 安 
装 了 多 少 种 语言 , 和 你 的 用 户 数据 (你 的 文件 ) 需 要 多 大 的 空间 。Fedora 操作 系统 通 弟 需要 2 一 8GB， 
虽然 一 个 最 小 系统 低 全 90MB RAM 也 可 以 运行 ， 但 用 刀 数 据 需要 额外 的 空间 。 保 留 至 少 5% 的 目 
由 空间 给 文件 系统 进行 操作 。RHEL 系统 的 信息 请 参阅 www.redhat.com/rhel/compare 


2. BIOS 设置 


现代 计算 机 可 以 设置 从 一 个 CD/DVD, filiis USB 闪存 驱动 器 引导 。 BIOS (基本 输入 /输出 
系统 ) 确定 系统 尝试 引导 每 个 设备 的 顺序 。 你 可 能 需要 改变 这 个 顺序 : 请 确保 在 BIOS 设置 尝试 从 
CD/DVD 启动 之 前 ， 它 会 尝试 从 硬盘 引导 。 

3. CMOS 


CMOS 是 永久 的 记忆 存储 使 件 配置 信息 。 要 更 改 BIOS ix E. Vm zd E E CMOS 中 的 
信息 。 当 系统 启动 时 ， 它 会 显示 一 个 如 何 进入 系统 设置 程序 或 CMOS 设置 模式 的 简短 消息 。 通 沼 
你 需要 在 引导 系统 时 按 Del 或 F2 键 ， 然 后 移动 屏 帮 上 的 光标 到 处 理 引 导 系 统 的 行 。 一 般 有 三 个 或 
四 个 设备 ， 系 统 将 投 照 引导 列表 进行 答 试 ， 如 条 第 一 次 答 试 失败 ， 系 统 将 符 试 第 二 个 设备 ， 并 依 此 
类 推 。 操作 列表 以 便 使 CD/DVD 是 第 一 选择 ， 你 存 列表 ， 并 重新 启动。 更 多 信息 请 参阅 便 件 /BIOS 
于 册 。 
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企业 一 般 都 会 成 批量 地 采购 服务 器 ， 并 在 其 上 部 普 安 装 操 作 系统 ， 无 论 Linux 还 是 Windows 
都 是 如 此 。 这 是 一 个 非常 耗费 时 间 、 人 力 的 过 程 ， 经 常 有 系统 管理 员 被 这 样 重复 、 枯 燥 的 生活 折 麻 
fiie SE SPEI 500 强 的 企业 来 说 尤其 如 此 ， 人 力 和 时 间 是 非 芝 至 贰 的 资源 ， 如 何 使 得 人 力 
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Rit 18] HH 4EZJ7J ER? 幸亏 当今 有 了 相应 的 技术 来 解决 这 个 问题 , 下 面 让 我 们 来 看 看 在 500 强 企业 
中 都 是 如 何 来 解决 这 个 问题 的 。 


4.5.1 PXE 技术 





在 如 今 ， 一 般 都 会 采用 PXE 技术 来 解决 大 规模 上 自动 部 车 和 安 冯 Linux 的 问题 。PXE (Preboot 
Execute Environment? 是 由 Intel 公司 开发 的 最 新 技术 ， 基 于 Client/Server 的 网 络 模式 ， 文 持 工 作 站 
通过 网 络 从 远 妆 服务 器 下 载 映 像 ， 并 由 此 文 持 来 目 网 络 的 操作 系统 的 局 动 过 程 。 在 其 局 动 过 程 中 ， 
2X my EE SK Jo ovs 27 o IP 地 址 , 再 用 TFTP (Trivial File Transfer Protocol) 或 MTFTP (Multicast Trivial 
File Transfer Protocol) WN FR-N JH KE BERALA ERAT, BRUT UH VETERE RS Pm 
ABA E. AMI sem ERAS IZ mPRIEARZCL. PXE 可 以 引导 多 种 操作 系统 ， 如 : 
Windows 95/98/2000/XP/2003/Vista/2008、Linux 等 。 

PXE 最 直接 的 表现 是 ， 在 网 络 环境 下 工作 站 可 以 省 去 便 盘 ， 但 又 不 是 通常 所 说 的 无 盘 站 的 概 
念 ， 因 为 使 用 该 技术 的 PC 在 网 络 方式 下 的 运行 速度 要 比 有 各 PC 快 3 倍 以 上 。 当 然 使 用 PXE 的 
PC 也 不 是 传统 意义 上 的 Terminal in, WEH T PXE 的 PC 并 不 消耗 服务 器 的 CPU、RAM 等 
资源 ， 故 服务 器 的 便 件 要 求 极 低 。 

网 络 元 隆 PXE 现在 最 为 广泛 的 一 个 应 用 是 网 吧 的 无 盘 技 术 。 在 有 盘 领 域 的 网 络 维护 和 安装 
H, PXE 可 以 是 最 好 用 的 网 吧 系 统统 一 安 闭 和 维护 的 引导 技术 ，PXE 的 引导 速度 和 稳定 性 都 是 
一 流 的 。 


4.5.2 183£ Yum 源 




































































为 了 完成 后 续 的 大 规模 操作 ， 需 要 先 搭 建 一 个 Yum 源 ， 用 于 安装 上 日 动 部 著 所 需要 的 DHCP、 
TFTP 和 VSFTP。 

Yum 是 Yellowdog Updater Modified 的 缩写 。Yellowdog 是 一 个 Linux 的 distribution, RH 将 
这 种 升级 技术 利用 到 目 己 的 distribution 形成 了 现在 的 Yuom， 感 觉 上 Yum 和 APT 的 原理 类 似 ， 但 
是 APT 是 编译 代码 ， 执 行 效 率 远 高 于 使 用 Python 写成 的 Yum。 这 是 Yum WER. Yum 的 理念 是 
使 用 一 个 中 心 仓 库 〈repository) 管理 一 部 分 其 至 一 个 distribution 的 应 用 程序 相互 关系 ， 根 据 计 算 
出 来 的 软件 依赖 关系 进行 相关 的 升级 、 安 装 、 删 除 等 操作 ， 减 少 了 Linux 用 户 一 直 头 痛 的 
dependencies 的 问题 。 

基体 的 搭建 步 又 如 下 。 

(1) 挂 载 Linux 光盘 : 

ee /dev/hdc  /mnt 

(2) 编辑 /etc/yum.conf， 增 加 下 面 的 内 容 即 可 : 


[cdrom] 














name=cdrom 
baseurl=file: ///mart/Server 
enabled=1 


gpgcheck=1 
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4.5.3 ”安装 相关 服务 


1. 安装 VSFTP 服务 


使 用 如 下 命令 安 猴 VSFTP 服务 : 
ed te ee ee 
enkon ig A on 


# service vsftpd restart 
2. 复制 PXE 启动 时 需要 的 文件 资料 


(1) 复制 必要 的 文件 。 

使 用 如 下 命令 : 

S METH et Le NUES UA OP lale De Oo IEEE OCIO OE A 

medre EELPOOL el es 
ee 


Ct ln 1 


二 


cp v Clr om, tm Ot /ll Eo 

(2) 修改 /tftpboot/pxelinux.cfg/default 文件 。 

使 用 如 下 命令 : 

t chmod uw /tftpboot/pxelinux.cfg/default //XÍ4FERW HE 

4$ vim /tftpboot/pxelinux.cfg/default 

default linux 

Promp sme 

timeout 6 // 超 时 时 间 ， 黑 认为 600， 可 以 不 改 。 

disp lay boot.msg 

Fl boot.msg 

E2500t OBSS 

F3 general.msg 

F4 param.msg 

F5 rescue.msg 

label linux 

kernel vmlinuz 

are oana ee anae aaa Ro ee el a Ce 
RMEL RAMEK ks . cfg KARK. 

3. 安装 配置 DHCP 服务 


使 用 以 下 命令 安 站 DHCP 服务 : 
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H 


j vum install dhcpo.i1386 dhcp-devel.i1386 -y 

然后 ， 生 成 主 配置 文件 dhcpd.conf: 

$ cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf 
Ben. ENEMA dhcpd.conf， 修 改 如 下 配置 : 


el le le a 











加 四 本 二  Updabe Styl e anterin, 


ignore client-updates; 





suec 92-195 00 umctuels 255.2 sso 0 T / / Bri d Ee s 
# --- default gateway 
CE // 路 由 右 IP， 可 以 写 网 和 天 IP 


OOELONn Sue Maok 7:57 SD 


和 //PXE 得 到 IP 以 后 的 引导 文件 
next-server 192.168.1.8; // 服 务 右 rp 地 址 

* option nis-domain "domain.org"; jJ IA EESSE 

* option domain-name "domain.org"; / [E58 

option domain-name-servers 192.168.1.8; / / DNS 服务 器 IP 


OPELON EIME OE ee D en elc ole ame 
TooobJorenmetbuesenose-i me 

range dynamic-bootp 192.168.1.100 192.168.1.200; //IPJBthuby 
default-lease-time 21600; 

最 后 ， 启 动 DHCP 服务 : 


# service dhcpd restart 


4. 生成 kickstart 配置 文件 


按照 以 下 步骤 进行 配置 。 

CIO 安装 kickstart 包 。 

BTE MESI a liae 

Io odee lecum osse pul gui e Scc 

This system is not registered with RHN. 

RHN support will be disabled. 

Available Packages 

pukrcketurtenogrch040590 we: 5c com 

o een OI er le Ear e Oa i 591] 08 esee COT 
eoue ea ne [os ed Lie Mero RENS DU, c taa di 

(2) 生成 ks.cfsg 安装 配置 文件 。 

C 图 形 化 界面 配置 : 〈( 终 新 中 运行 system-config-kickstart 命令 ) ， 如 图 4-9 一 图 4-13 所 示 。 
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E? Kickstart 加 程序 me LE Kickstart B ETEF mE 
XR HHH) HO HRH) 
HiME 基本 配置 必需 》 基本 配置 安装 方法 羽 需 ) 
安装 方法 Chinese (PR. of China) - 中 文 (简体 》 | | [v O 执行 新 安装 
GIBERHIUENS wg: SEA Iz] 引导 装载 程序 选项 00 升级 现 有 安装 
分 区 信息 分 区 信息 选择 安装 方法 : 
| 网 络 配 置 时 区 : |Asia/Shanghai Iv] 网 络 配置 O 光盘 驱动 器 
验证 O 使 用 UTC 时 钟 验证 O NFS 
| 防火墙 配置 pcdes | 
X 根 口令 : “| #kkkkkk | A O HTTP 
显示 配置 显示 配置 
| 软件 包 选 择 确认 口令 : | #kkkktk — 软件 世 选 择 O 硬盘 驱动 器 
Bike n T 预 安装 脚本 
给 根 口 令 加 密 
ELLE 安装 后 脚本 FTP 服务 器 : [10218.18 
L] Specify installation key: | FTP 目 录 : 
t7 66 22 " (ey 22 
图 4-9 “基本 配置 ”中 要 修改 的 项 目 图 4-10 “安装 方法 ”中 要 修改 的 项 目 
id Kickstart ETE S Uo 5 5851 Kickstart ARBER -ox 
HO 帮助 时) XR HEH 
aom 分 区 信息 需 做 需 ) 基本 配置 | 网 络 配置 
z - DOCE ` in. Fue xem 5 3n. 
安装 方法 O 请 除 主 引导 记录 安装 方法 AED = SEN ULIS O ARREO 
(3) 不 要 ; i i 2m: — - 
引导 装载 程序 选项 M, 不 要 清除 主 引 导 记 录 p W ETT f TETUER 
O 删除 所 有 现存 分 区 SEEN ginge 
O 删除 现存 Linux 分 区 网络 配置 
验证 
© 保留 现存 分 区 TRW : | DHCP = 
防火 墙 配置 : 防火 墙 配置 dixe 
"i: EU; 显示 配置 
RM ii 软件 包 选 反 [3363 
x 设 音 / 挂 载 点 /| ,x : TERME | 
sss g 类 型 ”格式 太 小 (MB》 | 
TERME SESS RAID REEMS LOLL 
安装 后 脚本 L JUL JL. A 
ext3 
ext3 xoxo | | uo 























swap 是 





4-11 “分 区 信息 ”创建 目标 工作 站 的 分 区 表 4-12 “网 络 配置 ”( 单 击 “ 谎 加 网 络 设备 ” 
按钮 ， 最 后 单 击 “ 确 定 ” 按 钮 ) 


system-config-kickstart 





ZN) : 


DRÉRGUXCHEXE(DO : root < 


b 浏览 其 它 文 件 夹 人 @) 


4-13 ”选择 “文件 ”中 的 “保存 文件 ”命令 ， 最 后 单 击 “ 保 存 “ 按 钮 
D 修改 新 生成 的 ks.cfg 文件 # cat /root/anaconda-ks.cfg // 安 装 系 统 时 自动 记录 的 安装 信息 ， 然 
后 选择 复制 %packages 后 耐 的 所 有 记录 系统 安装 时 的 软件 包 的 安装 情况 的 配置 到 ks.cfg 文件 后 面 。 
C30 将 配置 文件 复制 到 指定 位 置 ， 我 们 在 /tftpboot/pxelinux.cfg/default 文件 中 曾 设 置 
ks=ftp://192.168.1.8/ks.cfg。 




















起 Kickstart M HTE 2 0X 
将 文件 复制 到 该 位 置 : XE) HMH 
基本 配置 | | 安装 方法 化 需 ) 
人 RESA O 执行 新 安装 
| 引导 装载 程序 选项 | 升级 现 有 安装 
目录 是 VSFTP 服务 的 根 目 录 分 区 信息 选择 安装 方法 : 
网 络 配置 O 3639 zhaà 
i r3 Xr 验证 O NFS 
5. 复制 Linux 系统 安装 文件 Mes 
显示 配置 OH 
在 配置 ks.cfe 文件 时 ， 我 们 设置 的 路 径 。 wress cene 
安 本 
^ ] E AE 安装 后 有 本 FTP 服务 器 : |192.168.18 
/pub 如 图 d 所 不 FTP 目 录 : Mpu| | 











图 4-14 RERI 
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并 使 用 如 下 命令 进行 加 载 : 

ft umount /dev/hdc 

t mount desde aeu Asp 

6. 确定 相关 服务 的 状态 

使 用 如 下 命令 ， 关 闭 IPTables 防火 墙 和 SELinux 安全 机 人 制 ; 
/ /清除 防火 墙 规则 

// 天 闭 selinux 

开启 TFTP, DHCP 和 VSFTP 服务 : 

//TFTP 服务 开局 命令 


# service iptables stop 


让 


tenkeoonmfi ao on 
elec emisti e on 

4t chkconfig vsftpd on 

(^ ecucwudcem Semel VOS Deut //TFTP 服务 属于 它 的 子 服务 
# service dhcpd restart 


Siem abor vsftpd restart 


安 


J+ 
T 


5 NENNEN 


通过 以 上 配置 后 ， 即 可 跳 过 DHCP 而 通过 TFTP 开始 启动 计算 机 ， 如 图 4-15 所 示 ， 则 可 以 大 





规模 地 目 动 部 闭 安 冯 Linux J. 


CLIENT IP: 
GATEWAY IP: 


192. 168. 1.2068 MASK: 255:295.255.8 
197.158.1.8 


DHCP IP: 192.158.1.8 


PXELINUX 3.11 2885-88-82 Copyright (C) 1994-2885 H. 
UNDI data segment at: BBBSC7FHB 

UNDI data segment size: 24D8 

UNDI code segment at: LIS ILES TM MZ 


Peter finvin 


UNDI code 
PXE entry 


segment size: GAGD 
point found (mue hope) at SECC:8186 
My IP address seems to be CBRa881C8 192.168.1.288 


ip-182.158.1.288:182. 158 
TFTP prefix: 


Trying 
Trying 
Trying 
Trying 
Trying 
Trying 
Trying 
Trying 
Trying 
Trying 
boot : 


load: 
load: 
load: 
load: 
load: 
load: 
load: 
load: 
load: 
load: 


pxelinux 
pxelinux 
pxelinux 
pxelinux 
pxelinux 
pxelinux 
pxelinux 
pxelinux 
pxelinux 
pxe linux 





.1.8:192.158.1.8:255.255.255.H8 


.Cfq/81-88-8c-28-5e-ac-eb 
.Cfg/CBa881C08 
.CfÍg/CBR8B1C 

.Cfg/^/CB8881 

.cfg^C8888 

.cfq^CBR8 

.cfg^CBfR 

.cfq^C8 

.cfqg^t 

.cfg^/default 


图 4-15 成功 启动 
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战略 上 级 视 和 敌人， 战术 上 重视 敌人 


“战略 上 鞠 视 敌人 人， 战术 上 重视 敌人 ”， 是 伟大 领袖 毛泽东 主席 的 战略 战术 思想 ， 是 克 
敌 制 胜 不 可 分 割 的 两 个 方面 。 所 谓 战 略 是 比喻 决定 全 局 的 策略 ; 战术 是 比喻 解决 局 部 问题 
的 方法 ; 所 谓 敌 人 指 真正 的 敌人 ， 也 可 以 指 工作 中 遇 到 的 困难 和 障碍 . 

在 安全 运 维 工作 中 ， 可 以 以 之 为 指导 思想 ， 要 把 困难 想 在 前 面 ， 做 好 周密 的 布 署 ， 要 
不 旦 艰难 ， 从 战略 上 散 视 困难 ， 而 从 战术 上 重视 困难 ， 做 好 相关 的 准备 工作 。 


TE. 


AZER: “四 
系统 安全 防护 


LE ?? 
Y 


完成 企业 Linux 


本 章 导 读 

企业 级 Linux 作为 500 强 企 业 信赖 的 操 
作 系 统 平 仓 ， 其 自身 的 运行 安全 (第 3 章 所 
讲述 的 企业 级 Linux 安全 设计 的 内 容 ) 值得 
重视 。 而 根据 操作 系统 的 核心 概念 以 及 500 
强 企业 运 维 人 员 以 及 安全 管理 人 员 的 多 年 运 
维 经 验 ， 将 企业 级 Linux 系统 的 安全 防护 可 
以 准确 定位 到 以 下 四 个 方面 : 

» Linux 文件 系统 访问 安全 

a Linux 进程 安全 

a Linux 用 户 管理 安全 

a Linux 日 志 管 理 安 全 

现时 从 这 个 四 个 方面 出 发 ， 来 
MEZ 500 强 企业 对 于 这 四 个 方面 的 安全 防 
护 技术 、 工 具 和 策略 。 


防线 
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ER 分 析 : 企业 Linux 系统 安全 威胁 








在 实际 工作 中 ， 访 500 强 企业 的 信息 安全 首席 官 〈CSO，Chief Security Officer) 和 Linux 管 
理 员 需要 成 立 专门 的 工作 小 组 , 对 企业 级 Linux. 系统 可 能 发 生 的 安全 问题 进行 分 析 、 总 结 和 归纳 ， 
以 此 来 确定 企业 级 Linux 系统 安全 防护 的 内 容 、 步 又 和 方法 , 才能 在 后 面 的 工作 中 进行 具体 实施 。 

根据 企业 级 Linux 系统 的 文件 系统 、 进 程 、 用 户 管理 以 及 日 忘 管理 等 方面 的 分 析 以 及 可 能 存 











在 的 安全 威胁 ， 可 以 总 结 得 出 如 表 5-1 所 示 的 企业 级 Linux 系统 安全 威胁 列表 。 
表 5-1 企业 级 Linux 系统 安全 威胁 列表 


解决 的 主要 安全 威胁 安全 威胁 牵涉 到 的 人 员 及 操作 


导 锡 有意/ 无 意 的 文件 牙 改 .越权 访 

















文件 系统 防护 | 企业 内 部 用 户 误 操 作 、 外 部 黑客 的 恶意 删除 

问 、 根 用 户 Croot) 权限 小 
mE 避免 非法 进程 运行 、 正 常 进程 非法 | a 

进程 安全 防护 i E p 外 部 黑客 的 后 门 注 入 及 非法 进程 运行 

用 户 安全 管理 避免 弱 密 码 被 攻破 外 部 黑客 使 用 暴力 破解 等 方式 获取 密码 
通过 对 企业 内 部 用 户 及 外 部 黑客 
在 系统 中 行动 产生 相应 的 日 志 记 | e 

日 志 管理 "n 用 户 、 黑 客 在 系统 中 的 行动 产生 日 志 记录 





录 进 行 审计 ， 发 现 安全 问题 和 蛛 丝 
Ly 





EYE 理念 : 企业 级 Linux 系统 安全 立体 式 防范 体系 


Linux 的 系统 安全 防护 细 分 为 以 下 四 个 关键 部 分 (参见 图 5-1) 。 


企业 级 Linux 系 统 安全 防护 





第 一 步  _. | —: TP 
第 二 步 


| 进程 安全 防护 用 户 安全 管理 ) ( 日 志 管理 


图 5-1 企业 级 Linux 系统 安全 立体 式 防 范 体 系 
a ”文件 系统 保护 。Linux 系统 的 最 大 特点 束 是 文件 系统 ， 其 中 所 有 的 设备 都 是 通过 文件 进 


文件 系统 防护 











行 操作 和 管理 。 
a ”进程 安全 你 护 。 进 程 是 所 有 现代 操作 系统 的 一 个 核心 构 仿 ， 很 多 攻击 的 发 动 、 洁 多 的 


入 侵 都 是 通过 进程 来 实现 的 。 

a ”用 户 安 全 管理 。Linux 作为 一 种 多 任务 、 多 用 户 的 操作 系统 ， 在 同一 时 间 段 上 可 能 为 众 
多 用 户 使 用 ， 且 用 户 的 管理 直接 关系 到 整个 系统 的 安全 。 

志 管 理 。 从 Ext 到 Ext2， 从 Ext2 再 到 Ext3， 力 至 以 后 的 Ext4 或 者 更 高 版 本 ，Linux 
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ARSEUIKUU OK. -EORISESEI] HIS IRSUEPMK. WEHE. o A DAE 
MRZITI, (BB A ee PR A A AAAA R e BLEA o 
下 面 将 会 针对 以 上 四 点 给 出 详细 的 安全 防护 解决 方案 , JE RIWL AE H — 28 E AAA 
的 安全 工具 和 手段 来 辅助 进行 安全 防护 。 
最 后 ， 本 革 还 会 介绍 一 球 Linux 下 非常 有 名 的 主机 入 侵 检 测 系统 软件 LIDS。 企 业 系 统管 理 
员 可 以 应 用 该 软件 来 实时 、 方 便 地 检测 和 阻 断 有 可 能 发 生 的 入 侵 行为 ， 该 工具 可 以 说 是 上 述 立体 
A TG A REI — 1H an EJ AP 

















EE 企业 Linux 文件 系统 安全 防护 


5.3.1 企业 Linux 文件 系统 的 重要 文件 及 目录 


要 保护 文件 先 要 对 被 保护 的 文件 进行 分 类 , 做 到 有 的 放 天 。 对 Linux. (以 红 幅 企业 版 为 监 本 ) 
中 的 文件 进行 了 解 和 分 类 ， 确 定 如 下 的 一 些 重要 文件 及 其 目录 。 
a  /: 根 目 录 。 在 Windows. DOS 或 者 其 他 类 似 的 操作 系统 里 耐 ， 每 个 分 区 都 会 有 一 个 相 
应 的 根 目录 。 但 是 Linux 和 其 他 UNIX 系统 则 把 所 有 的 文件 都 放 在 一 个 目录 树 里 面 ，/ 
束 是 唯一 的 根 目 录 。 一 般 来 计 ， 根 目录 下 面 很 少 保存 什么 文件 ， 或 者 只 有 一 个 内 核 映 
像 在 这 里 。 
a /boot: 很 多 Linux 系统 把 内 核 映像 和 其 他 一 些 和 局 动 有 关 的 文件 都 放 在 这 里 。 
mn /tmp: 一 般 只 有 局 动 时 产生 的 临时 文件 才 会 放 在 这 个 地 方 。 我 们 上 自己 的 临时 文件 都 放 在 
/var/tmp。 
» /mnt: 这 个 目录 下 和 面 放 看 一 些 用 来 安装 其 他 设备 的 子 目录 ， 比 如 说 /mnt/cdrom 或 者 
/mnt/floppy。 在 有 些 Linux 中 这 个 目录 是 被 /mount RE H .- 
mn /lib: 局 动 的 时 候 所 要 用 到 的 库 文 件 都 放 在 这 个 目录 下 。 那 些 非 局 动用 的 库 文件 都 会 放 
在 /usr/lib 下 。 内 核 模块 是 被 放 在 /lib/modules/( 内 核 版 本 ) 下 的 。 
a /proc: 这 个 目录 在 磁盘 上 其 实 是 不 存在 的 。 里 面 的 文件 都 是 关于 当前 系统 的 状态 ， 包 
括 正 在 运行 的 进程 、 便 件 状 态 、 内 存 使 用 的 多 少 等 。 
/proc/cpuinfo: 关于 处 理 器 的 信息 ， 如 次 型 、 太 家、 型 号 和 性 能 等 。 
/proc/devices: 当前 运行 内 核 所 配置 的 所 有 设备 清单 。 
/proc/dma: 当前 正在 使 用 的 DMA 通道 。 
/proc/filesystems: 当前 运行 内 核 所 配置 的 文件 系统 。 
/proc/interrupts: 正在 使 用 的 中 汤 ， 和 曾经 有 多 少 个 中 汤 。 
/proc/ioports: 当前 正在 使 用 的 IO 端口 。 
a /dev: 这 个 目录 下 保存 看 所 有 的 设备 文件 。 里 面 有 一 些 由 Linux 内 核 创 建 的 用 来 控制 便 
件 设备 的 特殊 文件 。 
a /var: 这 里 有 一 些 被 系统 改变 过 的 数据 。 比 如 说 /var/tmp， 束 是 用 来 存储 临时 文件 的 。 还 
有 很 多 其 他 的 进程 和 模块 把 它们 的 记录 文件 也 放 在 这 个 地 方 ， 包 括 以 下 一 些 重 要 的 子 
Hox. 
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e lvarlog: 这 里 存放 看 绝 大 部 分 的 记录 文件 。 随 看 时 间 的 增长 ， 这 个 目录 会 变 得 很 
庞大 ， 所 以 要 定期 请 理 。 

4 /var/run: 包括 了 各 种 运行 时 的 信息 。 

。 lvarlib: 包括 了 一 些 系统 运行 时 需要 的 文件 。 

e  lvar/spool: 邮件 、 新 闻 、 打 印 序列 的 所 在 地 。 

/root: root 用 户 的 主 目录 。 

/home: 一 般 用 户 的 主 目录 都 会 放 在 这 个 目录 下 。 在 Linux 下 ， 可 以 通过 灵 d 一 来 进入 目 

己 的 主 目录 。 

lete: 这 里 保存 着 绝 大 部 分 的 系统 配置 文件 。 相 对 来 讨 ， 香 个 用 户 的 系统 配置 文件 会 保 

存在 这 个 用 户 目 己 的 主 目 录 里 面 。 下 面 列 举 其 中 一 些 重要 的 文件 和 子 目录 。 

e  letc/group: 组 用 户 信 息 。 

/etc/passwd: 包含 所 有 的 用 户 信 息 ， 如 密码 ， 登 录 shell 55. 

/etc/fstab: 配置 系统 有 哪些 文件 系统 。 

letc/inittab: 配置 init 在 人 不同 运 行 级 别 下 分 别 如 何 局 动 系统 。 

/etc/X11: KREWE X 窗口 系统 《Linux 中 的 图 形 用 户 界面 系统 ) 所 需要 的 配置 文 

件 。XF86Config 就 是 把 配置 存储 到 这 个 地 方 的 。/etc/X11/fonts 里 面 放 着 一 些 服务 

器 需要 的 字体 ， 还 存放 一 些 窗 口 管理 霹 存 放 的 配置 文 。 

e  letc/init.d: 这 个 目录 保存 看 启动 描述 文件 ， 包 括 各 种 模块 和 服务 的 加 载 描述 。 所 以 
如 条 不 清楚 的 话 ， 千 万 不 要 随便 删除 其 中 的 文件 ， 这 里 存放 的 文件 都 是 系统 目 动 
进行 配置 的 ， 不 需要 用 户 配 置 。 

e  letc/reS.d: 这 里 放 关 一些 连接 到 /etc/init.d 的 文件 ， 根 据 runlevel 的 不 同 而 执行 相应 
的 描述 。 这 里 的 文件 名 都 是 由 S 来 开头 的 ， 然 后 是 一 个 两 位 的 数字 表示 各 种 
服务 局 动 的 顺序 。 比 如 ，S24foo WEE S42bar MÁTA. RE MEAE 
到 /etc/init.d 下 面 的 文件 的 名 字 了 。 

e  letc/rc0.d—/etc/rcó.d: 这 里 面 也 是 一 些 连接 文件 ， 和 /etcircS.d ZZ. AERE, 
这 些 只 会 在 指定 的 runlevel 下 运行 相应 的 描述 。0 表示 关机 ，6 表示 重启 。 所 有 以 
K 开头 的 文件 表示 关闭 ， 所 有 以 S 开头 的 文件 表示 重 司 。 目 前 来 讲 ， 文 件 的 命名 
方式 和 /etc/recS.d 是 一 样 的 。 

/bin、/sbin: 这 里 分 别 放 看 启动 时 所 需要 的 普通 程序 和 系统 程序 。 很 多 程序 在 局 动 以 后 

也 很 有 和 用， 它们 放 在 这 个 目录 下 是 因为 它们 经 和 常 被 其 他 程序 调用 。 

/usr: 这 是 一 个 很 复 洒 、 庞 大 的 目录 。 除 了 上 述 目 录 之 外 ， 几 乎 所 有 的 文件 都 存放 在 这 里 。 

下 面 列 举 其 中 一 些 重要 的 子 目录 。 

e  lusr/XIIR6, /usr/X11, /usr/Xfree86: 这 里 保存 看 X 窗口 系统 所 需要 的 文件 ， 它 的 

目录 结构 和 /musr 是 一 样 的 。 

/ust/bin: 二 进 制 可 执行 文件 存放 的 目录 ， 这 里 存放 看 绝 大 部 分 的 应 用 程序 。 

/usr/sbin: 这 里 存放 着 绝 大 部 分 的 系统 程序 。 

/ust/games: 游戏 程序 和 相应 的 数据 会 存放 在 这 里 。 

/usr/include: 这 个 目录 保存 看 C 和 C++ 的 头 文 件 。 

/usr/lib: 局 动 时 用 不 到 的 库 文件 都 会 存放 在 这 里 。 

/usr/info: 这 里 保存 着 GNU Info 程序 所 需要 的 数据 。 
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。 /lusr/man: 这 里 保存 着 man 程序 所 需要 的 数据 。 

e  lusr/sr: 这 里 保存 看 源 代码 文件 。 

e /usr/doc: 这 里 保存 看 各 种 文档 文件 。 这 些 文件 可 以 帮助 你 了 解 Linux、 解 决 问 题 和 
提供 一 些 技巧 。 

。  lusr/local: 这 里 面体 存 痢 本 地 计算 机 所 需要 的 文件 。 在 用 户 进行 远程 访问 的 时 候 特 
别 有 意 义 。 这 个 目录 在 有 些 Linux 系统 下 束 是 一 个 里 独 的 分 区 ,存放 一 些 这 台 机 子 
所 属 的 那个 用 户 的 文件 。 里 面 的 结构 和 /usr 是 一 样 的 。 

e /usr/shared、/usr/share: 这 里 保存 看 各 种 共享 文件 。 


5.3.2 文件 /目录 访问 权限 


Linux 系统 中 的 每 个 文件 和 目录 都 有 访问 许可 权限 ， 通 过 其 确定 谁 可 以 通过 何 种 方式 对 文件 
和 目录 进行 访问 和 操作 。 文 件 或 目录 的 访问 权限 分 为 只 读 、 只 写 和 可 执行 三 种 。 以 文件 为 例 ， 只 
读 权 限 表示 只 允许 读 其 内 容 ， 而 茶 止 对 其 做 任何 的 更 改 操 作 ; 只 写 权限 允许 对 文件 进行 任何 的 修 
改 操作 ; 可 执行 权限 表示 允许 将 该 文件 作为 一 个 程序 执行 。 文 件 被 创建 时 ， 文 件 所 有 者 目 动 拥 有 
对 该 文件 的 读 、 写 和 可 执行 权限 ， 以 便于 对 文件 的 阅读 和 修改 。 用户 也 可 根据 需要 将 访问 权限 设 
置 为 需要 的 任何 组 合 。 

有 三 种 不 同类 型 的 用 户 可 对 文件 或 目录 进行 访问 : 文件 所 有 者 、 同 组 用 户 和 其 他 用 户 。 所 有 
者 一 般 是 文件 的 创建 者， 他 可 以 允许 同 组 用 户 有 权 访 问 文件 ,还 可 以 将 文件 的 访问 权限 赋予 系统 
中 的 其 他 用 户 。 在 这 种 情况 下 ， 系 统 中 的 每 一 位 用 户 都 能 访问 该 用 尸 拥有 的 文件 或 目录 。 

每 一 个 文件 或 目录 的 访问 权限 都 有 三 组 ， 每 组 用 三 位 表示 ， 分 别 为 文件 属 主 的 谈 、 号 和 执行 
权限 ; 与 属 主 同 组 的 用 户 的 谈 、 写 和 执行 权限 ;系统 中 其 他 用 户 的 该 、 写 和 执行 权限 。 当 用 Is- 
命令 显 不 文件 或 目录 的 评 细 信息 时 ， 最 左边 的 一 列 为 文件 的 访问 权限 。 例 如 : 






















































































a UOO T OOE 二 

drwst xoc oce Ic c E or 

L2Wq 5-0 p OOo cud dd lO A Re sos oT 

-rw-r--r-- 1 root root 44843 11-06 20:40 install.log 中 横 线 代 表 空 许可 ( 即 表示 不 具有 该 权限 ) 。 
r 代表 只 读 ，w TUS, x 代表 可 执行 。 注 意 : 这 里 共有 10 个 位 置 。 第 1 个 字符 指定 了 文件 类 型 。 
在 通常 苇 义 上 ,一 个 日 录 也 是 一 个 文件 。 如 果 第 1 个 字符 是 模 线 ， 表 示 是 一 个 非 日 录 的 文件 。 如 
果 是 4， 表 示 是 一 个 目录 。 后 面 的 9 个 字符 每 三 个 构成 一 组 ， 依 次 表示 文件 属 主 、 组 用 户 、 其 他 
用 户 对 该 文件 的 访问 权限 。 

例如 : 

WW to ee Or) 

表示 文件 install.log 的 访问 权限 ， 说 明 install.log 是 一 个 普通 文件 ，install.log 的 属 主 有 读 写 
BUR: 与 install.log 属 主 同 组 的 用 户 只 有 读 权 限 : 其 他 用 户 也 只 有 读 权 限 。 

确定 了 一 个 文件 的 访问 权限 后 ， 用 户 可 以 利用 Linux 系统 提供 的 chmod 命令 来 重新 设 定 不 
同 的 访问 权限 ， 也 可 以 利用 chown 命令 来 更 改 东 个 文件 或 目录 的 所 有 者 。 
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5.3.3 ”字母 文件 权限 设 定 法 


字母 设 定 法 的 一 般 使 用 形式 为 : chmod [who] [+ | -| -] [mode] 文件 名 。 

其 中 ， 操 作对 象 who 可 以 是 下 述 字 母 中 的 任意 一 个 或 者 为 各 学 母 的 组 合 。 

a uX “H Cuser) ”， 即 文件 或 目录 的 所 有 者 。 

a 5 表 示 “ 同 组 〈group) 用 户 ”， 即 与 文件 属 主 有 相同 组 ID 的 所 有 用 户 。 

mn 0 表示 “其 他 《others) 用 户 ”。 

a 2a 表示“ 所 有 al) 用 户 ”。 其 为 系统 默认 值 。 

操作 符号 如 下 。 

a t: 添加 某 个 权限 。 

: 取消 东 个 权限 。 

» =: 赋予 给 定 权 限 并 取消 其 他 所 有 权限 (如 采 有 的话 〉。 

设置 mode 所 表示 的 权限 可 用 下 述 字 母 的 任意 组 合 。 

= r: 可 旋 。 

a w: 可 与 。 

mn x: 可 执行 。 只 有 目标 文件 对 茶 些 用 户 是 可 执行 的 或 该 目标 文件 是 目录 时 才 妃 加 x 属性 。 

a o os: 在 文件 执行 时 把 进程 的 属 主 或 组 ID 置 为 该 文件 的 文件 属 主 。 方 式 “uts” 设 置 文件 
的 用 户 ID 位 ，“g+s” 设 置 组 ID 位 。 

mn t: 将 程序 的 文本 保存 到 交换 设备 上 。 

a u 与 文件 属 主 拥有 一 样 的 权限 。 

a g: 与 文件 属 主 同 组 的 用 户 拥 有 一 样 的 权限 。 

a ”0: 与 其 他 用 户 拥 有 一 样 的 权限 。 


5.3.4 数字 文件 权限 设 定 法 


数字 设 定 法 是 与 文学 设 定 法 功能 等 价 的 设 定 方法 , 只 不 过 比 文学 设 定 法 更 加 简便 。 数字 表示 
的 属性 的 含义 为 : 0 表示 没有 权限 ，1 表示 可 执行 权限 ，2 表示 可 写 权 限 ，4 表示 可 读 权 限 ， 然 后 
将 其 相 加 。 所 以 数字 属性 的 格式 应 为 3 个 从 0 一 7 的 八进制 数 ， 其 顺序 是 (QD . Cg). (0) 。 
其 他 的 与 文字 设 定 法 基本 一 致 。 

如 条 想 让 茶 个 文件 的 属 主 有 “ 读 / 写 ”两 种 权限 ， 需 要 把 4 CE) +2( 可 写 ) 96 GOES). 

数字 设 定 法 的 一 般 形式 为 :chmod [mode] 文 件 名 。 

下 和 面 给 出 一 些 使 用 该 数字 设 定 法 的 例子 。 

CG) 设 定 文件 install.txt 的 属性 为 :文件 属 主 (u) WA "AUR: 与 文件 属 主 同 组 的 用 户 
(g) 拥有 读 权 限 ; HIBA Co) WARRI. 

eo lore 644 install.txt 

(2) 设 定 example.c 文件 的 属性 为 : 文件 主 本 人 QD 具有 可 读 、 可 号 、 可 执行 权限 ; 与 文 
件 主 同 组 的 人 《〈g) 具有 可 读 、 可 执行 权限 ; 其 他 人 (0) 没有 任何 权限 。 


#chmod 750 example.c 
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5.3.5 ”特殊 访 问 模 式 及 粘贴 位 的 设 定 法 


通过 前 面 的 介绍 我 们 知道 ，Linux 系统 中 的 每 一 个 文件 都 有 一 个 所 有 者 ， 表 示 该 文件 是 谁 创 
建 的 。 同 时 ， 访 文件 还 有 一 个 组 编号 ， 表 示 访 文件 所 属 的 组 ， 一 般 为 文件 所 有 者 所 属 的 组 。 并 且 ， 
在 一 般 情 况 下 ， 我 们 也 可 以 通过 议定 对 文件 的 权限 来 控制 对 其 的 相关 操作 。 
在 此 情况 中 ， 如 有 果 是 一 个 可 执行 文件 ， 那 么 在 执行 时 , 一 般 该 文件 只 拥有 调用 该 文件 的 用 户 
具有 的 权限 。 而 setuid、setgid 则 可 以 来 改变 这 种 设置 。 
m  setuid: 设置 使 文件 在 执行 阶段 有 具有 文件 所 有 者 的 权限 。— 典 型 的 文件 是 /usr/bin/passwd。 
如 果 一 般 用 户 执 行 该 文件 ， 则 在 执行 过 程 中 ， 该 文件 可 以 获得 root 权限 ， 从 而 可 以 更 
BUB PERS. 

a  setgid: 该 权限 只 对 目录 有 效 。 目 录 人 被 设置 该 位 后 ， 任 何 用 户 在 此 目录 下 创建 的 文件 都 
其 有 和 该 目录 所 属 的 组 相同 的 组 。 

a — sticky bit: 该 位 可 以 理解 为 防 删除 位 , 也 称 为 粘贴 位 。 一 个 文件 是 否 可 以 被 菜 用 户 删 除 ， 
主要 取决 于 该 文件 所 属 的 组 是 否 对 该 用 户 共有 与 权限 。 如 末 没 有 与 权限 ， 则 这 个 目录 
下 的 所 有 文件 都 不 能 家 删 除 ， 同 时 也 不 能 添加 新 的 文件 。 如 宁 和 希望 用 户 能 够 添加 文件 
但 同时 不 能 删除 文件 。 则 可 以 对 文件 使 用 sticky bit 位 。 设 置 该 位 后 ， 即 便 用 户 对 目录 
上 其 有 写 权 限 ， 也 不 能 删除 该 文件 。 

在 前 面 我 们 讨论 了 通过 文字 设 定 和 数字 设 定 的 方法 来 设 定 文件 、 目 录 的 访问 权限 问题 ， 同 样 
的 道理 ， 下 和 面 我 们 通过 这 两 种 方法 来 介绍 如 何 操作 这 些 标志 。 操 作 这 些 标志 与 操作 文件 权限 的 命 
令 是 一 样 的 ， 都 是 使 用 chmod 命令 来 进行 。 


A 
1. 文字 设 定 法 





















































chmod u+s filename: 为 文件 filename 加 上 setuid 标志 。 

chmod g+s dirname: 为 目录 dirname 加 上 setgid 标志 。 

chmod o+t filename: 为 文件 flename 加 上 sticky 标志 。 

2. 数字 设 定 法 

对 一 般 文件 通过 三 组 八进制 数学 来 置 标志 ， 如 444、777、644 和 等。 如果 设 置 这 些 特殊 标志 ， 
则 在 这 组 数字 之 前 另 加 一 组 八进制 数字 。 如 4666、4777 等 。 这 一 组 八进制 数字 三 位 的 意义 如 下 。 

a  setuid 位 : 如 果 访 位 为 1， 显示 为 “S”， 则 表示 设置 setuid， 其 显示 在 原来 的 x 标记 位 上 。 

»  setgid 位 : 如 果 访 位 为 1， 显示 为 “S”， 则 表示 设置 setgid， 其 显示 在 原来 的 x 标记 位 上 。 

a Sticky 位 : 如 果 访 位 为 1， 显示 为 “T”， 则 表示 设置 stickyy， 其 显示 在 原来 的 x best. 

设置 完 这 些 标 六 后， 可 以 用 I 命令 来 得 看 。 如 果 有 这 些 标志 ， 则 会 在 原来 的 执行 标志 位 置 
上 显示 。 如 下 所 示 。 

r-srw-r-: 表示 有 setuid 标志 。 














rwxrwsrw-: 表示 有 setgid 标志 。 

rwxrw-rwt: 表示 有 sticky 标志 。 

如 果 本 来 在 该 位 上 有 x， 则 这 些 特殊 标志 显示 为 小 写字 母 (s，s，t) 。 否 则 ， 显 示 为 大 与 字 
(S95 2.3 
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另外 非常 值得 读者 注意 的 是 ， 昌 然 setuid, setgid 机 制 非常 方便 实用 ， 但 是 由 于 提升 了 执行 
者 的 权限 ， 因 而 不 可 避免 地 存在 许多 安全 隐患 和 风险 ， 所 以 作者 并 不 太 赞 成 广大 读者 广泛 使 用 ， 
FH, 在 实际 的 系统 官 理 过 程 中 ,我 们 还 经 常 需 要 找 出 设置 有 这 些 标记 的 文件 ， 并 对 它们 进行 检 
但 和 清理 。 一 般 我 们 可 以 使 用 如 下 命令 来 对 系统 中 的 具有 特殊 标志 的 文件 进行 寻找 : 


te eT 0 Se fe Exe LS le Se 


5.3.6 ”使 用 文件 系统 一 致 性 检查 工具 : Tripwire 




















1. Tripwire 工具 简介 


系统 的 正常 运行 要 徘 系 统 程 序 的 正常 运转 ， 而 程序 的 运行 义 与 其 可 执行 文件 明明 相关 。 所 以 ， 
维护 系统 完整 性 是 确保 系统 安全 的 一 项 基本 工作 。 我 们 这 里 的 系统 完整 性 是 指 系统 中 核心 配置 文件 
(包括 密码 文件 等 ) 和 可 执行 文件 的 完整 性 , 也 了 驶 是 说 系统 中 的 核心 文件 和 程序 文件 没 被 非法 修改 。 

一 方面 ， 如 果 可 执行 文件 被 恶意 修改 的 话 ， 如 改变 、 插 入 或 删除 等 ， 将 直接 威胁 到 系统 的 安 
全 性 。 大 多 数 情 况 下 ， 黑 客 滩 入 到 系统 后 会 立即 修改 某 些 系 统 文件 以 创建 后 门 ， 如 用 准备 好 的 巷 
代 物 换 挥 系统 中 原 有 的 /bin/login 文件 以 便 使 其 不 用 口令 便 能 登录 系统 ; 然后 再 修改 菏 些 文件 , 例 
如 /bin/ls 等 ， 以 便 隐 藏 其 行径 。 如 果 我 们 没 能 发 现 这 些 改 变 的 话 ， 那 无 异 于 吴 处 险 卉 却 还 以 为 很 
安全 ， 这 了 就 为 壮 洛 的 长 期 入 侵 提 供 了 非常 有 利 的 条 件 ， 同 时 也 意味 看 我 们 的 损失 将 更 大 。 另 一 方 
面 ， 如 采用 户 的 核心 账户 文件 被 修 改 的话 ， 束 有 可 能 造成 正 钊 用户 无 法 登录 或 者 是 非法 用 户 的 游 
入 等 。 为 了 改变 这 种 被 动 的 局 面 ， 我 们 需要 一 种 文件 完整 性 检 奏 工具 ， 使 得 当 系 统 文件 和 被 恶意 修 
改 后 能 及 时 发 现 ， 从 而 为 进一步 处 理 创 造 条 件 。 

Tripwire 是 UNIX 安全 规范 中 最 有 用 的 工具 之 一 ，1992 年 由 Eugene Spafford 和 Gene Kim 在 
Purdue 大 学 进行 开发 的 ， 其 软件 包 在 1998 ENE, IME H Tripwire Security Inc. 来 维护 。 议 
公司 文 持 软 件 包 的 商业 和 免费 两 种 版 本 ， 能 在 多 数 UNIX 系统 中 运行 。 

由 于 使 用 了 多 达 四 种 的 Hash 算法 , 因此 准确 上 度 非常 高 。Tripwire 可 检测 多 达 十 多 种 的 UNIX 
文件 系统 属性 和 二 十 多 种 的 NT 文件 系统 《包括 注册 表 ) 属性 。Tripwire 首先 使 用 特定 的 特征 三 
国 数 为 需要 监视 的 系统 文件 和 目录 建立 一 个 特征 数据 库 , 所 谓 特 征 公函 数 束 是 使 用 任意 的 文件 作 
为 输入 ， 产 生 一 个 固定 大 小 的 数据 (特征 人 码 ) 的 函数 。 入 侵 者 如 果 对 文件 进行 了 修改 ， 即 使 文件 
大 小 不 变 ， 也 会 破坏 文件 的 特征 码 。 利 用 这 个 数据 库 ，Tripwire 可 以 很 容易 地 发 现 系 统 的 丝毫 细 
微 的 变化 。 而 且 文 件 的 特征 人 码 儿 乎 是 不 可 能 伪造 的 ， 系 统 的 任何 变化 都 逃 不 过 Tripwire 的 监视 。 

Tripwire 作为 一 种 优秀 的 安全 工具 ， 其 具有 : 日 保护 性 、 平 台 则 可 移植 性 、 可 配置 性 、 可 扩 
展 性 和 目 包 容 性 的 特点 。 

与 大 多 数 完整 性 检查 程序 相同 ， 对 于 需要 监视 的 文件 ，Tripwire 会 使 用 校 验 和 来 为 文件 的 某 
个 状态 生成 唯一 的 标识 〈 又 称 为 “快照 ”) ， 并 将 其 存放 起 来 以 备 后 用 。 当 Tripwire 程序 运行 时 ， 
它 先 计算 新 的 标识 ， 并 与 存放 的 原 标 识 加 以 比较 ， 如 末 发 现 不 匹配 的 话 ， 它 丈 报 告 系统 管理 人 员 
文件 已 经 被 修改 。 接 下 来 , 系统 管理 员 就 可 以 利用 这 个 不 匹配 来 判断 系统 是 否 遭 到 了 入 侵 。 例如 ， 
如 果 Tripwire 已 经 为 /bin/login 和 /bin/ls 存放 了 快照 ， 那 么 对 它们 的 尺寸 、inode 号 、 权 限 以 及 其 
他 属性 的 任何 修改 ， 都 逃 不 过 Tripwire 的 评 细 和 周密 的 检查 。 尤 其 是 对 于 文件 内 容 的 修改 ， 即 使 
只 改变 了 一 个 学 下 ，Tripwire 也 能 察觉 得 到 ， 因 为 校 验 和 是 针对 文件 整体 的 。 

该 软件 基于 预 编写 的 策略 工作 , 在 基准 数据 库 生 成 时 , 会 根据 策略 文件 中 的 规则 读 取 指定 的 
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文件 ， 同 时 生成 该 文件 的 数字 签名 并 存储 在 Tripwire 自己 的 数据 库 中 。 为 了 达到 最 大 限度 的 安全 
性 ，Tripwire 提供 了 四 种 Hash 算法 一 一 CRC32、MD5、SHA、HAVAL 来 生成 签名 。 通 常情 况 下 
采用 前 两 种 算法 生成 签名 了 驶 足够 了 , 当然 也 可 全 部 采用 。 不 过 后 两 种 算法 对 系统 资源 的 耗费 较 大 ， 
使 用 时 可 根据 文件 的 重要 性 作 灵 活 的 取舍 。 

进行 完整 性 检查 时 ， 























Tripwire 会 根据 策略 文件 中 安装 Tripwire 配 初始 化 Tripwire 
的 规则 对 指定 的 文件 重新 生 ”| 置 策略 文件 的 基准 数据 库 





成 一 次 数字 签名 ， 并 将 此 签 
名 与 存储 在 数据 库 中 的 签名 一 
做 对 HE o 如 果 完 全 [Uu 配 , 则 运行 Tripwire 








进行 完整 性 


说 明文 件 没有 被 更 改 ， 如 时 检查 





不 匹配 , 说 明文 件 被 改动 了 。 


然后 在 Tripwire 生成 的 报告 是 否 发 
中 查阅 文件 被 改动 的 具体 情 现 改 变 


(m 





况 ， 如 图 5-2 所 示 。 是 
由 上 述 可 知 ，Tripwire 检查 Tripwire 
自身 的 基准 数据 库 是 非常 重 报告 文件 


要 的 。 如 来 基 准 数据 库 变 得 


E EE ENA 升级 Tri i H | E 
不 可 靠 ， 那 么 完整 性 检查 就 Duc qute e UE 
没有 意义 。Tripwire 软件 安 did Vrae i 








装 完 毕 后 , 已 经 对 配置 文件 、 E 
策略 文件 以 及 数据 库 文 件 均 










进行 了 高 强度 的 加 密 ， 同 时 1 策略 文件 工作 à 更 新 策略 文件 
默认 策略 中 也 对 目 身 文件 进 正常 吗 ? 


行 了 完整 性 检查 。 当 然 ， 使 
用 者 自己 也 要 做 好 这 些 文件 
的 备份 ， 因 为 Tripwire 软件 图 5-2. Tripwire 工作 原理 示意 图 
是 不 能 恢复 受 损 文件 的 ， 它 
只 能 详细 列 出 每 一 个 受 损 文 件 的 情况 。 

Tripwire 在 UNIX 系统 中 的 属性 监控 如 下 。 

a ”文件 增加 、 删 除 、 修 改 。 

a ”文件 访问 许可 属性 。 

mn ”iNode 及 Link 数量 。 

= Uid 及 Gid. 

a ”文件 类 型 和 大 小 。 

a ”iNode 存储 的 磁盘 设备 号 。 

»  iNode 指向 的 设备 的 设备 号 〈 适 用 于 设备 文件 ) 。 

a 分 配 的 区 块 。 

a EKNER. 
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iNode 创建 和 修改 的 时 间 惟 。 


访问 时 间 惟 。 
增长 的 文件 。 
缩小 的 文件 。 
Hash fj fr. 


Tripwire 有 四 种 操作 模式 : 数据 库 生 成 、 完 整 性 检查 、 数 据 库 更 新 和 交互 式 更 新 。 














数据 库 和 后 成 模式 产生 一 个 基准 数据 库 ， 为 未 来 的 比较 打下 基础 。 

完整 性 检查 是 Tripwire 的 主要 模式 , 把 当前 文件 签名 和 基准 数据 库 进 行 比较 来 进行 检查 。 
另外 两 种 更 新 模式 允许 用 户 调整 Tripwire 数据 库 以 消除 不 感 兴 趣 的 结果 以 及 应 付 正 各 
的 系统 变化 。 例 如 当 用 户 账 扎 正 第 增 加 或 删除 时 ， 不 布 望 Tripwire 重复 报告 /etc/passwd 
文件 被 改动 了 。 








2. 选用 Tripwire 的 四 个 核心 散 列 函数 


如 上 所 述 , 该 软件 能 够 全 面 、 精 确 地 扫 摘 出 文件 的 任何 微小 的 变化 , 与 它 所 采用 的 多 种 高 强 
度 的 散 列 算法 是 离 不 开 的 。 向 列 〈Hash) 困 数 也 称 消息 摘要 (Message Digest) ~, MSA A AKA 
次 国 数 等 ， 其 输入 为 一 可 变 长 x， 返 回 一 固定 长 度 串 ， 该 串 h 被 称 为 输入 x 的 Hash 值 〈 消 县 摘 
要 ) ， 记 作 h-H(x). 

Hash 函数 H 一 般 满 足以 下 几 个 基本 要 求 。 

















输入 x 可 以 为 任意 长 度 。 单 癌 散 列 函 数 能 够 处 理 任意 长 度 的 明文 (至 少 是 在 实际 应 用 
中 可 能 倍 到 的 长 度 的 明文 )， 其 生成 的 消 因 摘要 数据 块 长 度 上 共有 国定 的 大 小 ， 而 且 对 
同一 个 消 恩 反复 执行 该 函数 总 是 得 到 相同 的 信息 摘要 。 

和 输出 数据 串 长 度 固 定 。 即 使 使 用 的 算法 不 同 ， 但 所 有 的 散 列 值 都 拥有 很 多 相同 的 属性 。 散 
列 值 的 长 上 度 由 算法 的 类 型 决定 ， 与 被 散 列 的 消 朋 大 小 无 关 ， 一 般 为 128 或 160 比特 长 度 。 
易 计 算 ， 给 定 任何 x， 容 易 算 出 H(x)。 

里 回 函 数 ， 即 给 出 一 Hash 值 h， 很 难 反 回 计 算出 一 特定 输入 X， 使 h=HCO。 上 所 有 的 节 列 
算法 都 是 蛙 辐 的， 也 就 是 说 不 能 从 策 列 值 来 获取 原始 消 上 号 ， 即 使 是 原始 消 恩 的 很 少 一 部 
分 信息 都 不 可 能 获得 。 所 以 ， 有 了 时候 对 一 个 数据 的 黎 列 也 叫做 该 数据 的 摘要 ， 它 可 以 作 
为 一 个 消息 的 惟一 标识 ， 来 保护 消息 的 完整 性 。 发 送 者 发 送 数据 的 同时 ， 也 把 该 数据 的 
散 列 值 发 送 过 去 。 接 收 者 接收 到 消息 以 后 ， 首 先 根 据 接收 到 的 数据 计算 其 散 列 值 ， 然 后 
和 发 送 过 来 的 散 列 值 进行 比较 ， 束 可 以 判断 数据 是 否 在 发 送 过 程 中 被 修改 。 

惟一 性 ， 又 叫 冲 突 性 ， 可 分 为 弱 冲 突 和 强 冲 突 两 种 。 弱 冲突 是 指 给 出 一 消 居 x， 找 出 一 
TH. y E x 相似 且 H(x)=H(y) 是 计算 不 可 行 的 ， 而 强 冲 突 是 指 找 出 任意 两 条 消 忆 x、y， 
使 H(x)=H(y) 也 是 计算 不 可 行 的 。 即 使 两 个 消 恩 差别 很 小 ， 如 差别 一 两 个 比特 ， 其 散 列 
值 也 完全 不 同 。 利 用 现在 的 算法 技术 ， 几 乎 不 可 能 找到 两 个 拥有 相同 做 列 值 的 不 同 消 
县 。 用 同一 个 算法 对 某 一 消息 进行 散 列 计算 只 能 获取 惟一 确定 的 散 列 值 。 

单 问 散 列 函数 生成 的 信息 摘要 是 不 可 预见 的 ， 消 息 摘 要 看 起 来 和 原始 的 数据 没有 任何 
的 关系 。 而 且 ， 原 始 数 据 的 任何 微小 变化 都 会 对 生成 的 信息 摘要 产生 很 大 的 影响 。 










































































1) Snefru 算法 
Snefru 是 Ralph Merkle wit AJ — PP AAR, CATA KEA AA 128 或 者 256 
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位 的 值 。 

其 算法 首先 将 消 恩 分 成 512-m 的 分 组 (m 是 黎 列 值 的 长 度 ) 。 大 输出 是 128- 位 散 列 值 ， 则 
每 分 组 384 位 长 ; 若 输 出 是 255- 位 散 列 值 ， 则 每 分 组 256 位 长 。 

算法 的 核心 是 函数 机 ， 它 将 512- 位 值 散 列 成 m- 位 值 。H 输出 的 前 m 位 是 这 一 分 组 的 散 列 ， 
余下 的 则 舍弃 挤 。 下 一 分 组 附 在 上 一 分 组 的 散 列 后 面 ， 然 后 又 进行 散 列 “初始 分 组 附 在 一 串 0 之 
E) 。 在 最 后 一 个 分 组 散 列 之 后 ， 将 最 先 的 m 位 附 在 消息 长 度 的 二 进 制 表示 之 后 并 进行 最 后 一 
REZI 

函数 HH 基于 男 一 个 作用 于 512- 位 分 组 的 可 逆 分 组 密码 函数 E。H 是 EE 输出 的 最 后 m 位 与 E 
输入 的 最 先 m 位 相 异 或 的 结果 。 

Snefru 的 安全 性 取决 于 函数 E, 它 用 几 轮 运算 使 数据 随机 化 。 每 轮 由 64 个 随机 化 的 子 轮 组 成 。 
在 每 一 个 子 轮 中 用 不 同 的 字 节 作为 S- 盒 的 输入 ，S- 盒 输出 的 一 个 字 与 消息 相 邻 的 两 个 字 相 异 或 。 

2) HAVAL 算法 

HAVAL 是 一 种 长 度 可 杰 的 单 癌 散 列 图 数 ， 它 是 MDS 的 改进 版 本 。HAVAL 以 1025- 位 分 组 
MRSYMAA. x MDS 的 两 倍 。 它 有 八 个 32- 位 链接 变量 ， 也 是 MDS 的 两 倍 。 它 的 轮 数 可 在 3 一 $ 
轮 中 变化 ， 其 中 每 一 轮 为 16 步 ， 并 且 它 能 产生 长 度 为 128、160、192、224 或 者 256 位 的 散 列 值 。 

HAVAL 是 用 高 非 线性 的 7- 变 量 函 数 取代 了 MDS 的 简单 非 线性 函数 , 而 且 每 一 个 函数 都 能 够 满 
足 严 格 的 雪 衣 规则 的 要 求 。 每 轮 采 用 单个 函数 ， 但 在 每 一 步 对 输入 进行 了 不 同 的 置换 。 该 算法 有 一 
个 新 的 消息 次 序 ， 并 且 每 一 步 〈 第 一 轮 除 外 ) 使 用 了 不 同 的 加 法 常数 。 访 算法 有 两 种 环 移 方式 。 

该 算法 的 核心 为 : 

TEMP = (f G, A, B. C D, E, F, G) <<<7) + (H«««1D + Mlillr G) ]+K Cp 

H=G; G-F; F- E; E-D; D-C; C=B; B=A; A- TEMP 

其 中 ， 可 变 的 轮 数 和 可 变 的 输出 长 上 度 意味 着 该 算法 有 15 种 不 同 的 形式 。 

3) MD5 算法 

MD5 算法 是 MD4 的 改进 版 本 , 它 比 MD4 更 为 复杂 , 但 是 设计 思想 相似 , 并 且 也 是 产生 128- 
位 散 列 。 在 此 ， 我 们 就 对 该 算法 的 实现 流程 做 一 个 详细 的 分 析 。 

(1) MD5 算法 是 对 输入 的 数据 进行 补 位 ， 使 得 数据 位 长 度 LEN 对 512 求 余 的 结 末 是 448, 
即 数 据 扩 展 至 (K*512+448) 位 ， 也 即 (K*64+56) 个 字 节 ，K 为 整数 。 具 体 补 位 操作 : 补 一 个 
1， 然 后 补 0， 直 至 满足 上 述 要 求 。 

(2) 补 数据 长 度 : 用 一 个 64 位 的 数字 表示 数据 的 原始 长 度 B， 将 B 用 两 个 32 位 数 表示 。 
这 时 ， 数 据 束 被 填补 成 长 度 为 512 位 的 倍数 。 

(3) 初始 化 MD5 参数 : 四 个 32 位 整数 (A,B,C,D) 用 来 计算 信息 摘要 ， 初 始 化 使 用 的 是 
十 六 进 制 表示 的 数字 。 

A = 0x01234567 

B = 0x89abcdef 

C = Oxfedcba98 

D = 0x76543210 

(4) 处 理 位 操作 函数 。 
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X,Y,Z 为 32 位 整数 。 

F(X,Y,Z2) = X&Y|not (X) &Z 

G(X,Y,Z) = X&Z|Ynot (Z) 

H(X,Y,Z) = XxorYxorZ 

I(X,Y,Z) = Yxor (XInot (Z) ) 

(5) 主要 变换 过 程 : 使 用 常数 组 T[1..64]. TA 32 位 整数 用 十 六 进 制 表示 ， 数 据 用 16 个 
32 位 的 整数 数组 MID] 表示。 

上 其 体 过 程 如 下 : 

/* 处 理 数 据 原文 */ 

oue dp 0r wo UN dsl 

/* 每 一 次 ， 把 数据 原文 存放 在 16 个 元 素 的 数组 x 中. */ 

Rora 0 

Set X[j] to M[i*16-4j]. 

end/ 结 束 对 J 的 循环 


i es Ce ns ID aa 


AA = A 
BB = B 
CC = C 
DDE 


7 

Zn 

cm cM cM LE MS ENDE CIS. 

/* Do the following l60operations.*/ 

[ABCD © 7 1]| [DABGCG 1 12 2] [CDAB 2 17 USA [BCGDA 3 22 4| 
[ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] 
LABCD € 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] 
LABCD 12 7 13] [IDABC 15 12 14] [CDAB 14 17 15] [BCDA 15 22 16] 
/ *5& 2 $e / 

/*EM[a b c d k s i] FERE 

cu ceiges e Ecke ues (ders o DP e ae te Dells dE Lab a 

DO BS CHRONIC Oe Occ 

EDS 7 DC 95 e NINE V 19 [BCDA OU 20 220) 
LABCD 5 5 21] [IDABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] 
[ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] |[IBCDA 8 20 28] 
[ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] 
/* 第 3 轮 */ 
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/x* 以 [a b c d k s i] 表 示 如 下 操作 


a 


D wa UB eed cope Bm, a se. 5X 


15 posuthecsollowsndg 16 'operstsomscc 


区 


区 


了 


| 
/* TY 
/* 以 [a pb c dq ks i] 表 示 如 下 操作 


a 


Da Ca (el E kI e rri ee Sye y 


"EON E re | O Bm Once 


国人 | 


[ABC DNI CM S T OBALE T SIND S MIT SES SIGUE ene d | NN RS CORDE SE e S] 


PAB Des vos Cm eq o DESC colis DG dba ces o Bex dise 7:000 19] 


[ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] 
/ "AJ ETT AE PRTE / 


A 


B 
Ç 
D 


A + AA 


B a BS 


CE CE 


DED 


end/* 结 束 对 工 的 循环 */ 
(6) 输出 结 
综 上 所 述 ，MD5 算法 是 从 MD4 算法 改进 而 来 的 ， 它 在 以 下 方面 做 了 较 大 的 改进 。 





增加 了 第 四 轮 变换 。 

每 一 步 都 有 唯一 的 加 法 常数 。 

为 了 减弱 第 二 轮 中 国 数 G 的 对 称 性 ， 从 C CX^YO V(X^2Z) V (Y^2Z) ) EJ C CX^2D 
V CY^-22) ) 。 

每 一 步 加 上 了 上 一 步 的 结果 ， 这 将 引起 更 快 的 雪 骨 效应 

改变 了 第 二 轮 和 第 三 轮 中 访问 消息 子 分 组 的 次 序 ， 使 其 形式 更 不 相似 。 

近似 优化 了 每 一 轮 中 的 循环 左 移 位 移 量 以 实现 更 快 的 雪 骨 效应 。 各 轮 的 位 移 量 互 不 
相同 。 

















4) SHA 算法 
该 算法 首先 将 消息 填充 为 512 位 的 整数 倍 。 填 充 方法 与 MD5 完全 一 样 : 先 添 加 一 个 1， 然 























后 填充 尽量 多 的 0 使 其 长 度 为 512 的 倍数 并 余 448 位 ， 最 后 64 位 表示 消息 填充 前 的 长 度 。 该 算 
法 有 5 个 32- 位 变量 (与 此 相对 应 的 是 ，MD5 算法 仅 有 4 个 变量 ) ， 这 几 个 变量 初始 化 为 : 

A — 0x67452301 

B = Oxefcdab89 
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C = 0x98badcfe 

D = 0x10325476 

E = 0xc3d2e1lf0 
然后 开始 算法 的 主 循环 。 它 一 次 处 理 512 PEE AS MARARA E IP 512- 位 分 组 的 数目 。 先 把 
这 5 个 变量 复制 到 另外 的 临时 变量 当中 : A 到 a,， B 到 b, C 到 c, D 到 d, Efe, 

主 循环 有 四 轮 ， 每 轮 20 次 操作 (MD5 有 四 轮 循 环 ， 每 轮 16 RERE) 。 每 次 操作 对 abede 
中 的 三 个 进行 一 次 非 线性 运算 ， 然 后 进行 与 MD5 中 类 似 的 移 位 运算 和 加 运算 。 

该 算法 中 ，SHA 的 非 线 性 函数 集 如 下 〈^ 表 示 与 ，V 表示 或 ，- 表 示 反 ，@ 表 示 异 或 ) : 

Ft (X,Y,Z) = (X^Y) V C C2O ^2)» , ， 其 中 ， 人 0 一 19 

Ft (X,Y,Z) =XeYeZ， 其 中 ， 人 20 一 39 

Ft (X,Y,Z) = (X^Y) V (OX^2) V (Y^Z) , do, t40—59 

Ft (X,Y,Z) - XeY eZ, dip, t260—79 

该 算法 采用 了 以 下 四 个 常数 。 

Kt = 0x5a827999, HB, t-0—19 

Kt = 0x6ed9ebal, HE, t=20~39 

Kt = 0x8flbbcdc, F, t=40~59 

Kt = 0xca62cld6, HF, t=60~79 

从 以 上 对 该 算法 的 分 析 和 描述 可 以 看 出 ，SHA 与 MD5 非常 类 似 ， 但 是 它 有 160- 位 散 列 值 。 
主要 的 改变 是 添加 了 扩展 转换 ， 并 且 为 了 产生 更 快 的 雪 衣 效应 而 将 上 一 轮 的 输出 送 到 下 一 轮 。 从 
当前 的 情况 来 看 ， 对 SHA 还 没有 已 知 的 密码 攻击 ， 并 且 由 于 它 产 生 160- 位 散 列 ， 所 以 它 比 其 他 
128- 位 散 列 函数 更 能 有 效 地 抵抗 穷 举 攻 击 〈( 包 括 生 日 攻击 ) 。 然 而 ， 任 何事 情 都 是 一 分 为 二 的 ， 
安全 性 得 到 提高 ， 其 所 消耗 的 机 器 时 间 会 随 之 增加 , 在 下 一 和 对 这 些 算法 的 效率 分 析 当 中 将 会 很 
好 地 说 明 这 个 问题 。 

3. 安装 和 配置 Tripwire 


Tripwire 主要 由 束 略 和 数据 库 组 成 。 开 略 不 仅 指 出 Tripwire 应 检测 的 对 象 即 文件 和 目录 ， 而 
晶 还 规定 了 用 于 鉴定 违规 行为 的 规划 。 一 般 情 况 下 ， 对 于 /root、/bin 和 /lib 目录 及 其 中 文件 的 任 
何 修改 都 应 视 为 违规 行为 。 数 据 库 则 用 来 存放 策略 中 规定 的 检测 对 象 的 快照 。 只 要 建立 了 策略 和 
数据 库 ， 我 们 就 可 以 随时 用 快照 来 比较 当前 的 文件 系统 ， 然 后 生成 一 个 完整 性 检测 报告 ， 从 而 判 
盯 系 统 的 完整 性 是 合 受 到 攻击 。 除 了 策略 和 数据 库 外 ，Tripwire 还 有 一 个 配置 文件 ， 用 以 控制 数 
据 库 、 策 略 文件 和 Tripwire 可 执行 程序 的 位 置 等 。 

为 了 防止 被 算 改 ，Tripwire 对 其 日 喘 的 一 些 重要 文件 进行 了 加 密 和 签名 处 理 。 这 里 涉及 两 个 
密 钥 : site AM local 密 钥 。 其 中 ， 前 者 用 于 保护 末 上 略 文件 和 配置 文件 ， 如 果 多 台 机 右上 其 有 相同 
的 策略 和 配置 的 话 ， 那 么 它们 束 可 以 使 用 相同 的 site 密 钥 ; 后 者 用 于 保护 数据 库 和 报告 ， 因 此 不 
同 的 机 需 必 须 使 用 不 同 的 local 密 钥 。 

以 下 要 给 出 该 软件 的 安 荫 以 及 使 用 步 又。 要 得 到 该 软件 可 以 从 网 站 http://sourceforge.net/ 
project/tripwire/ H Bz3X 13. tripwire-2.4.1.2-src.tar.bz2 。 

(1) fig HA ze XC TTE l/usr/local 目录 。 
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// 切 换 工 作 路 径 
ted uS ea Ocal 


// 解 压缩 
人 
(2) 执行 make ME, WHITH 

// 进 入 已 经 解压 的 文件 夹 


TE e a E o 


ER makefile X4 


t /COnf igure 


// 执 行 make 命令 


#make 


//TAfT make install mF 

#make install 

(3) 生成 基线 数据 库 。 

成 功 编 译 Tripwire， 束 可 以 准备 开始 对 需要 监控 的 文件 进行 扫 摘 ， 以 生成 Tripwire 数据 库 ， 
在 Tripwire 的 src 目录 下 ， 如 下 操作 : 

orao n 

(40 测试 。 

数据 库 生 成 了 ， 使 用 命令 运行 Tripwire， 扫 描 系 统 的 变化 和 细小 改变 。 

人 

当 第 一 次 运行 Tripwire 时 ， 需 要 进行 一 些 准 备 工 作 ， 主 要 有 编辑 config 文件 、 检 得 邮件 报告 
是 人 否 正 名、 根据 需要 配置 脓 略 文件 和 初始 化 数据 库 文 件 ， 即 创建 一 个 签名 的 基线 数据 库 。 下 一 次 
运行 时 ， 它 使 用 twpol.txt 文件 产生 一 个 新 的 签名 数据 库 。 然 后 ， 比 较 两 个 数据 库 ， 实 施用 户 定 义 
的 任何 选项 屏蔽 (排除 经 党 更 改 的 文件 ) ， 最 后 通过 电子 邮件 或 显示 器 来 为 用 户 在 终 闹 上 输出 一 
个 可 读 的 报告 。 

对 于 Tripwire， 为 了 保证 其 正确 地 运行 ， 要 特别 注意 其 安装 和 配置 的 过 程 ， 有 具体 步骤 如 下 。 

(1) 创建 密 铀 和 签名 。 

在 安装 Tripwire 之 后 ， 可 以 使 用 如 下 命令 进行 设置 : 

ie ee hl eh 

脚本 twinstall.sh 的 作用 在 于 执行 下 列 任务 。 

a 创建 site 和 local 密 钥 ， 这 时 会 要 求 输入 口令 (参见 下 面 的 步骤 ) 。 如 果 这 两 个 密 钥 已 

存在 ， 则 可 以 跳 过 此 步骤 。 其 中 ，site 黎 钥 存放 在 site.key 文件 中 ， 而 local 蜜 钥 则 存放 
在 hostname-local.key 〈 这 里 的 hostname 是 指 该 机 器 的 主机 名 ) 文件 乙 中 。 
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= ”利用 site 密 钥 对 默认 配置 文件 twcfg.txt 进行 签名 ， 并 将 签名 (而 非 被 签名 的 文件 
twcfg.txt) 存放 于 文件 tw.cfg 之 中 。 

a 利用 site 密 钥 对 默认 策略 文件 twcfg.pol 进行 签名 ， 并 将 签名 《而 非 被 签名 的 文件 
twcfg.pol) 存放 于 文件 tw.pol 之 中 。 





The Tripwire site and local passphrases are used to 
oron deve eror Te So LT ee TEES Tu ot Or, 


policy, and database files. 


Passphrases should be at least 8 characters in length 


and contain both letters and numbers. 


reer ele Treipu ire manual Tor mMOre INTO matron: 


Creating key files... 


(When selecting a passphrase, keep in mind that good passphrases typically 
have upper and lower case letters, digits and punctuation marks, and are 


at least 8 characters in length.) 


Enter the site keyfile passphrase: 
Verify the site keyfile passphrase: 


Generating key (this may take several minutes)...Key generation complete. 


(When selecting a passphrase, keep in mind that good passphrases typically 
have upper and lower case letters, digits and punctuation marks, and are 
at least 8 characters in length.) 

Enter the local keyfile passphrase: 

Verify the local keyfile passphrase: 


Generating key (this may take several minutes)...Key generation complete. 


A^ | 


m o3 
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= ie 
Please enter your site passphrase: 


人 


A clear-text version of the Tripwire configuration file 
"uscbocsl eost dqu ct 
has been preserved for your inspection. It is recommended 


人 


Creating sighed policy Llene 
Please enter your site passphrase: 


Wrote policy ple eroe eoe nw poo 


A clear-text version of the Tripwire policy file 
husr/local/etc/twpol.tzt 

has been preserved for your inspection. This implements 
a minimal policy, intended only to test essential 
[ESO WE e functionality: Yon ot the el file 
to describe your system, and then use twadmin to generate 
a new signed copy of the Tripwire policy. 


The installation succeeded. 

(2) 编辑 配置 文件 。 

首先 打开 文本 格 却 的 配置 文件 twcfg.txt。 访 文件 的 位 置 在 前 面 所 述 安 闭 过 程 后 的 /aswlocaletc 
目录 下 。 然 后 根据 需要 修改 配置 文件 ， 修 改 完毕 后 人 存盘。 最 后 使 用 twadmin 命令 根据 已 编辑 的 文 
本 文件 生成 一 个 加 密 的 配 次 文件 。 











ROOT -/usr/local/sbin 

POLFILE -/usr/local/etc/tw.pol 

DBFILE -/usr/local/lib/tripwire/9$ (HOSTNAME).twd 

REPORTFILE OE occu Eyowitecbepobt A EOOTNAMB)SSS DATE Sw 
RUBUS E TE =/usr/local/etc/site.key 
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LOCALKEYFILE -/usr/local/etc/localhost.localdomain-local.key 
EDITOR -/bin/vi 

LATEPROMPTING -false 

LOOSEDIRECTORYCHECKING -false 

MAILNOVIOLATIONS -true 

EMAILREPORTLEVEL 三 3 

REPORTLEVEL -3 

MAILMETHOD —SENDMAIL 

SYSLOGREPORTING -false 


MAILPROGRAM =/usr/sbin/sendmail -oi -t 


#twadmin --create-cfgfile --site-keyfile /etc/tripwire/site.key twcfg.txt 

安装 完毕 后 ， 该 文件 已 存在 ， 因 此 不 必 再 重新 创建 。 通 第 情况 下 ， 配 置 文件 的 内 容 不 会 发 生 
变化 ， 因 此 没有 必要 去 修改 它 ， 使 用 Tripwire 默认 的 就 可 以 了 。 在 此 时 我 们 应 该 测试 一 下 E-mail 
报告 功能 是 售 起 作用 ， 以 防 以 后 迪 到 及 烦 ， 得 入 以 下 命令 进行 测试 。 

terr uw cpespeemsiemsenmdcemsdmec cl 

(3) WREE 

首先 打开 文本 格式 的 策略 文件 twpol.txt 该 文件 的 位 置 在 前 面 所 述 安装 过 程 后 的 /usr/local/etc 
HK Fo Tripwire 在 安装 时 已 经 在 琐 略 文件 中 写 入 了 默认 的 检查 规则 。 这 些 堵 认 的 规则 主要 检 合 
重要 的 系统 文件 和 Tripwire 自身 文件 的 完整 性 。 

让 




















# # # 
* Global Configuration Files (/etc/) dod 
# UE 


EE TE TE AE FE FE ETE ETE ETE ETE ETE TETTE E TE TETTE TETTE ETC TEC E EE E 
( 


rürlename = "Clobal Conf rguratron Filest 

) 

l 
AEG S eae ea oi 
e a E co Te 
/etc/aliases.db z m jb mme 
/etc/bashrc DIAC NE 
Verses ee SUE TUB Aes er 
"c scUAS NN ANE cT Dwasresmate gi cr 
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Terem S ES SENI TE ene GRIS: 

"enc a a 三 > 
/etc/mtab E XE COUPS DEUS 
dec cec -» S(IgnoreNone) -SHa ; 
"e oV A rG -» S(IgnoreNone) -SHa ; 
/etc/sysconfig/hwconf 2 x 40 acc E 


j 

由 于 默认 的 配置 不 能 监视 系统 中 的 SUID 和 SGD 文件 ， 而 这 对 于 我 们 的 系统 安全 是 非常 重 
要 的 ， 因 此 ， 我 们 需要 修改 配置 ， 加 入 对 该 项 目的 监视 。 使 用 如 下 命令 可 以 找 出 系统 中 的 所 有 
SUID 文件 : 

#find / -type f -perm -4000 -print 

以 下 命令 可 以 找 出 系统 中 的 所 有 SGD 文件 : 

wibdbior w^ eese 5 eu 2900 ee 

现在 ， 我 们 需要 把 以 上 命令 找 出 的 SUID 和 SGID 文件 加 入 到 Tripwire 的 策略 文件 中 去 。 除 
此 之 外 ， 我 们 还 要 把 所 有 用 户 home 目录 下 的 初始 文件 也 纳入 监视 的 范畴 。 主 要 包括 以 下 文件 : 


= .bashre、.profile、.bash profile、.cshrc、kshrc、.login 等 。 


» — bash. csh 以 及 ksh 登录 之 后 的 初始 化 命令 或 者 脚本 。 

= forward: 告诉 /usr/lib/sendmail 把 邮件 转发 到 某 些 地 址 。 

» X hosts: 可 以 使 用 rsh 登录 到 本 账户 的 远程 主机 名 。 

= .Xinitrc、.Xauthority、Xdefault 等 X 窗口 系统 的 一 些 重要 文件 。 

在 创建 Tripwire 的 特征 码 数据 库 之 前 ， 还 有 一 件 事情 要 做 ， 束 是 检查 .netrc 和 .rhosts 文件 的 
权限 是 否 为 600。 修 改 完 策略 文件 后 存盘 。 再 使 用 twadmin 命令 根据 已 编辑 的 文本 文件 生成 一 个 
加 蜜 的 策略 文件 。 最 后 ， 舍 略 文件 的 文本 文件 要 删除 兵 ， 人 否则 该 文件 的 内 容易 被 丛 看 。 

#twadmin --create-polfile twpol.txt 

安 并 完毕 后 ， 该 文件 已 存在 ， 因 此 不 必 再 重新 创建 。 

(4) 生成 基线 数据 库 。 

配置 文件 和 策略 文件 都 编辑 和 生成 好 了 之 后 ， 丈 应 该 根据 配置 文件 的 规则 生成 基线 数据 库 。 
基线 数据 库 在 Tripwire 安 状 完毕 后 生成 一 次 即 可 。 我 们 使 用 Tripwire 命令 来 生成 基线 数据 库 。 

Ktripwire --init 

基线 数据 库 生 成 时 ，Tripwire 会 提示 输入 local key， 对 其 进行 高 强度 的 加 密 ， 以 防止 对 文件 
内 容 的 非法 改变 。 

(5) 运行 完整 性 检 醋 。 

基线 数据 库 生 成 之 后 ， 我 们 可 以 使 用 tripwire 命令 随时 进行 完整 性 检 醋 。 

#tripwire --check 

进行 检查 时 可 以 指定 检 枉 报告 的 存储 位 置 。 其 命令 为 : 

Ee a ee Am Ge oe ee 


进行 检查 时 也 可 发 送 E-mail 报告 结果 。 其 命令 为 : 















































Aly ~r 


poy 
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a 


PETI PNL Le CNEL ke a eOe 

JETTES fx] TRE EH] E-mail 进行 友 送 的 报告 等 级 。 其 命令 为 : 
本 
使 用 指定 严重 性 等 级 的 规则 进行 检 碍 。 其 命令 为 : 
Eee 

使 用 指定 的 规则 名 进行 检 奋 。 其 命令 为 : 

ftripwire --check --rule-name rulename 








只 检查 指定 的 文件 或 目录 。 其 命令 为 : 
ftripwire --check object object2 object3 ':- 


XETTTS EX AERE SPECIALE EREE fx RER RRA, keu Hash 算法 ) 。 其 





Jae owuerocu olco codo M DG P LOPE e I 9 2 MTS Tec IS CONSO 


如 有 果 完 整 性 检查 完毕 后 ， 发 现 E-mail 报告 功能 未 生效 ， 可 以 检查 两 个 方面 :一 个 是 策略 文件 中 








规则 的 emailto 属性 必须 填写 妥当 ， 另 一 个 是 运行 Tripwire 命令 时 ，--email-report 选项 必须 被 包含 。 


(6) 查阅 报告 。 
完整 性 检查 进行 完毕 后 ， 我 们 就 可 以 查阅 报告 以 发 现 有 哪些 文件 遭 到 了 改动 ， 改 动 了 什么 。 











使 用 twprint 命令 可 以 输出 报告 ， 它 有 多 种 使 用 方式 。 


如 下 命令 将 加 密 的 报告 内 容 输 出 到 显示 带 : 

aw te dl /el tT e OE ENE 

如 下 命令 将 加 密 的 报告 内 容 输 出 到 一 个 文本 文件 : 

He i er I MO 
如 下 命令 输出 报告 时 指定 输出 的 报告 等 级 : 


ee Te eC a 





FEDOLE o CWE 


(7) 升级 基线 数据 库 文 件 。 
如 来 在 报告 中 发 现 了 一 些 违 反 朱 上 略 的 错误 ， 而 这 些 错误 义 被 认为 古 正 党 的 ， 那 束 要 使 用 








Tripwire 命令 更 新 基线 数据 库 : 


Ktripwire --update --twrfile /var/lib/report/report.twr 

也 可 以 在 进行 完整 性 检查 之 后 立即 自动 进行 更 新 ， 其 命令 如 下 。 

#tripwire --check --interactive 

(80 升级 策略 文件 。 

随 看 系统 的 变化 , 原来 的 策略 文件 将 不 能 满 中 需要， 因此 必须 要 不 断 地 更 狐 策 上 略 文件 中 的 规 











则 。 更 新 和 创建 新 的 策略 文件 不 同 ， 因 为 如 果 为 Tripwire 创建 了 新 的 策略 文件 ， 那 么 就 必须 要 重 
狐 生 成 基线 数据 库 。 喝 新 时 首先 打开 集 略 文件 的 文本 文件 : 





和 WO 








然后 编辑 该 文件 ， 完 毕 后 存盘 。 最 后 使 用 Tripwire Me HEITA A ET o 


Wübdbdscuum dec molstie ci odusey" «e oOd 12555 
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在 此 步骤 中 ，Tripwire 软件 会 要 求 输入 site key. 

(9) 改变 site key 和 local key. 

site key 和 local key 是 在 安 猴 时 生成 的 ， 但 是 也 可 以 随时 人 和 修改。 注意， 如 末 已 经 用 来 加 密 的 
密 钥 文件 被 删除 了 或 是 被 敌 亲 了， 那么 Tripwire 加 密 过 的 文件 都 不 能 访问 了 。 因 此 ， 我 们 要 对 这 
两 个 文件 做 备份 。 很 多 时 候 会 发 现 我 们 的 口令 可 能 不 太 安 全 ， 因 此 要 改变 口令 。 需 执行 以 下 命令 
Bl n]: 


ftwadmin --generate-keys --local-keyfile /etc/tripwire/site.key 














ftwadmin --generate-keys --local-keyfile /etc/tripwire/local.key 

但 是 这 么 做 的 话 , 会 造成 使 用 以 前 密 钥 进行 加 密 的 文件 无 法 打开 的 情况 。 我 们 要 使 用 以 前 的 
策略 文件 、 配 置 文件 、 数 据 库 文件 、 报 告 文件 的 话 ， 因 此 在 改变 口令 之 前 ， 我 们 必须 使 用 以 下 的 
命令 把 这 些 已 加 密 的 文件 进行 解密 。 

Pena mine eno Oe ot | vas atiis A eee 

在 生成 新 的 密 钥 文件 之 后 , 我 们 还 应 该 用 新 密 钥 对 这 些 文件 进行 加 密 。 配置 文件 和 集 略 文件 
只 能 用 site key 加 密 ， 而 数据 库 文件 和 报告 文件 只 能 用 local key 加 密 。 


#twadmin --encrypt --site-keyfile /etc/tripwire/site.key filel file2 file3 … 














aere o a Ce tec eure ceq cx mw ocaeca I ee e 
4. 使 用 Tripwire 扫描 文件 系统 改变 


下 面 就 是 着 手 来 对 文件 系统 的 改变 或 者 是 不 经 意 的 “破坏 ”甚至 是 黑客 的 “ 自 改 ”来 进行 扫 
描 和 发 现 了 。 

COD 设 定 监控 目标 文件 /目录 。 

虽然 Tripwire 是 一 个 功能 和 性 能 非常 优秀 的 开源 软件 ,但 是 从 前 面 的 介绍 不 难看 出 :Tripwire 
主要 依赖 的 是 哈 希 算法 来 比较 前 后 两 次 文件 的 哈 希 值 , 如 果 有 所 改变 则 表明 文件 被 改 动 了 。 况 且 ， 
Tripwire 的 策略 文件 twpol.txt 默认 的 监控 范围 是 整个 文件 系统 ， 包 念 成 千 上 万 个 目录 ， 而 目录 里 
面包 含 了 成 百 万 的 文件 ， 因 此 在 一 般 的 机 堪 上 需要 花费 很 长 的 时 间 来 进行 扫描 和 形成 基线 数据 
库 。 为 了 采用 Tripwire 来 实时 或 者 快速 地 洞悉 文件 系统 的 “蛛丝马迹 ”变动 ， 则 需要 使 用 者 对 监 
探 目 标 进行 高 度 地 挑选 和 精 价 。 其 实 一 言 以 概 之 ， 就 是 合理 地 选择 部 分 需要 监控 的 目标 。 

因此 我 们 此 处 对 其 简化 ， 仅 仅 扫 描 /homey/liyang 目录 ， 如 下 所 示 的 策略 文件 : 

IHHEHOHBEHHHEHEREHHBRERRHEREHHREHHEHEREHHRHHHERRHEHERHHBREH HERE E EGRE 






































# Td 
TiSpdgzgSSPORSÁESGg4ddSTSSORHEÓSSsÓdESTESUUEHSESUESETTTT T 
# Tod 
* Monitor Filesystems # # 

# Td 


TETE TETTE ETE ETE ETE ETE TETTE TETTE ETE TETTE TETTE EE E 
( 


rulename = "Monitor Filesystems", 
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/home 


j 
然后 使 用 如 下 命令 对 其 进行 更 新 : 


(Readonly 


# Modify as needed 


twadmin “ereate polfilertwoole txt 





(2) 生成 初始 基线 数据 库 〈Baseline) 。 

使 用 tripwire-init 命令 生成 初始 基线 
数据 库 ， 如 图 5-3 所 示 。 

G) SETA. BARE- 

我 们 对 /home 目录 下 的 文件 和 目录 
进行 了 修改 , 生成 了 两 个 新 的 文件 ,使 用 


如 下 命令 得 到 检 枉 结 


t tripwire check 


Parcoing policy file: 
xxx Processing Unix File System 
Performing Integrity check.. 

Wrote reporil Tle: 


zO 


Open Source Tripwire (R) 


Report generated by: 


Report created on: 


Database last updated on: 














AREF dE KA e 2x00 9) 
EH root@cis:/usr/local/etc 三 | 可 | 其 
文件 是) ARO EEV ARO 标签 人 MAH) 

[root@cis etc]# tripwire —init 

Please enter your local passphrase: 

Parsing policy file: /usr/local/etc/tw.pol 

Generating the database... 

*** Processing Unix File System *** 

Wrote database file: /usr/local/lib/tripwire/cis.hq.cmcc.twd 

The database was successfully generated. 

[rootGcis etc |# 

i$ | Ø rootGcis:/usr/local/etc | [55] 9 





HK]5-3 ”生成 基线 数据 库 


Zusc/ocsl eto twpeol 


大 大 大 


JO/ I Or em 20 159192 2:0 


2 4 TimEegrity Check Report 


root 
2010 EO H20 H 主人 OT a ON 


Never 


Host name: 
Host IP address: 
BOSE LDe 


Policy file used: 


Contiguration rle used: 
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CSS 
UNO tbe TERM IR 
None 
usq hocce iem e WD 


usc locsl/etctw.ckg 
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GEL 


E 


Database file used: eue oe EIU EE Se cns repone c eC 


Command line used: tripwire --check 


Section: Unix File System 


* Monitor Filesystems 0 3 0 | 


(/home) 


Total OpJects ca mie e l> 


Total violations founds 4 


# Section: Unix File System 


Rule Name: Monitor Filesystems (/home) 


Severity Level: 0 


147 


防线 


E Linu 安全 运 维 理念 和 实战 


148 


Added: 
"/home/tripwire test" 
mone NW ect IN 


"/home/tripwire test2" 


Modified: 


uu / home Uu 


TIONS CONES 


i pe 


Open coour ee Tripwire A OL ghe 2000 i re Dre DE apws rers 
acregrsteredtradomark oft le OE OMe A NO 
WARRANTY oe eke Ve lon oh ieee obw: eu whuchums De 
ec le ho neh el nl el ll Condi Eons? em PV NG TO Ie lal 


All rights reserved. 
Tous el iey echeck Te, 
通过 上 和 而 的 结果 可 以 看 出 ，Tripwire 把 我 们 对 目录 的 修改 全 部 记录 下 来 了 ， 并 且 还 记录 了 系统 
目 吴 文件 发 生变 化 的 茶 些 细节 。 最 重要 的 一 点 是 : Tripwire 已 经 将 这 些 细 小 的 变化 都 记录 了 下 来 ， 
使 得 诸如 Web 服务 、 电 子 商 务 等 网 络 管理 员 能 够 有 的 放 和 天 地 进行 维护 工作 ， 而 不 是 “关子 眉毛 一 
把 抓 ”， 从 而 可 以 高 效 、 方 便 地 进行 网 络 管理 ， 适 时 地 对 重要 网 络 系统 的 文件 进行 恢复 ， 这 也 正 是 
Tripwire 在 网 络 安全 日 在 热门 的 今天 ， 能 够 融 频 京 地 出 现在 服务 占 应 用 中 的 最 重要 原因 。 
鉴于 Tripwire 是 一 种 非常 优秀 的 你 证 文件 系统 安全 的 工具 , 在 使 用 中 有 许多 经 验 、 技 巧 可 以 
理 鉴 ， 特 总 结 如 下 供 读者 使 用 。 
a ERITH Tripwire 的 时 机 。 最 好 的 时 机 古 在 刚刚 建立 好 系统 之 后 ， 不 论 是 狐 
建 的 还 古 升级 的 。 一 个 运行 了 一 段 时 间 的 系统 可 能 已 经 被 破 二 了， 之 后 运行 Tripwire 
将 几乎 没有 任何 价值 。 如 果 不 可 能 在 系统 刚 安 寂 或 更 狐 的 时 候 安 狠 Tripwire, 3544 7518 
以 单 用 户 模 式 重 新 安装 系统 文件 ， 这 是 保证 系统 纯净 的 惟一 方法 。 
a ”切实 保证 基线 数据 库 的 安全 。 用 户 需 要 把 基线 数据 库 同 程序 文件 一 起 保存 在 一 个 安全 
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的 地 方 ， 以 免 攻 击 者 更 改 文件 而 使 该 程序 达 不 到 监控 的 目的 。 最 优 的 安排 是 把 这 些 文 
件 保存 在 一 个 移动 的 只 读 介 质 中 ， 比 如 写 保 护 的 软盘 、 光 盘 或 潜在 攻击 者 不 能 访问 的 
CD-ROM; 还 可 以 把 文件 存放 在 一 个 安全 的 远程 及 其 分 区 中 并 以 只 读 方 式 输 出 。 记 住 
采用 mount 命令 使 一 个 便 盘 只 读 是 不 够 的 ， 因 为 一 个 有 root 权限 的 攻击 者 可 以 轻易 地 
把 便 盘 改 为 可 与 。 

mn 明确 和 纵 减 需要 监控 的 文件 对 象 。 将 需要 监控 的 关键 和 核心 文件 进行 整理 和 分 类 ， 以 
方便 Tripwire 的 实时 监控 。 并 且 ， 由 于 默认 的 Tripwire 的 监控 文件 数量 巨大 《有 具体 可 
以 参见 /srlocal/etc/twcfg.txt 文件 ) ， 如 末 按 照 默 认 的 文件 及 目录 进行 扫 拉 和 监控 ， 非 
种 消耗 CPU 的 时 间 以 及 用 户 时 间 。 上 所 以 ， 建 议 谈 者 在 实际 使 用 过 程 中 修改 和 缩减 
/usr/local/etc/twcfg.txt 中 的 Tripwire 扫 摘 及 监控 范围 , 从 而 高 效 地 发 挥 Tripwire 的 功能 。 


5.3.7 根 用 户 安 全 管理 


通常 用 户 以 root 用 户 名 登录 ,或 通过 给 出 su 命令 并 提供 root 密码 来 获得 root 权限。 最近 sudo 
的 使 用 已 经 接管 了 这 个 获得 root 权限 的 经 典 技术。 使 用 sudo， 用 户 以 目 己 的 用 户 名 登录 后 ， 给 
出 一 个 sudo 命令 ， 并 提供 目 己 的 密码 ( 非 root 密码 ) ， 以 获得 root 权限 。 

当 一 个 普通 用 户 在 图 形 化 环境 中 执行 一 个 特权 命令 ， 系 统 会 提示 输入 root 2503284] P «13, 
这 取决 于 系统 是 如 何 设置 的 。 有 些 发 行 瞩 通过 不 分 配 root 口令 来 锁定 root 账户 。 在 这 些 系 统 中 ， 
不 能 通过 提供 root 密码 获得 root 权限 。Fedora/RHEL 在 安装 系统 时 会 分 配 root 密码 ， 以 便 从 一 
开始 束 可 以 使 用 这 些 技术 。 

安装 时 ， 某 些 系 统 〈 非 Fedora/RHELO 通过 不 提供 root 口令 来 锁定 root 账户 。 此 设置 可 以 
防止 任何 人 以 root 账户 登录 《| 除非 当 把 系统 市 到 单 用 户 模 式 时 ) 。 然 而 ，/etc/passwd 文件 的 第 一 
行 的 root 用 户 名 表明 有 root 账户 。 此 账户 /用 户 拥 有 文件 (发 出 ls-1 bin 命令 ) 并 运行 进程 (发 出 
ps-ef 命令 ， 看 看 左边 输出 的 列 ) 。 该 root 账户 是 Linux 系统 运转 的 关键。 

正确 设置 后 ，sudo 实用 程序 便 可 以 像 root 用 户 一 样 运行 命令 。 本 文 “ 使 用 root 特权 ”短语 
强调 的 是 ， 虽 然 不 以 root 映 份 登录 ， 但 当 使 用 sudo IT, WIA T root 用 户 的 特殊 权力 。 

以 下 描述 了 一 些 可 以 获得 或 授予 root 特权 的 方法 。 其 中 一 些 技术 需要 提供 root 账户 密码 。 
同样 ， 如 果 root 账户 被 锁 住 ， 束 不 能 使 用 这 些 技术 ， 除 非 解 开 了 root 账户 《设置 root 653) 。 
其 他 技术 依靠 设置 sudoers 文件 ， 以 获得 root 特权 。 如 果 没 有 按 这 种 方式 设置 此 文件 ， 束 不 能 使 
用 这 些 技术 ， 除 非 设置 sudoers 文件 。 

"» — 当 把 系统 禹 到 单 用 户 /救援 模式 时 ， 登 录 的 用 户 名 就 是 root。 

a 当 以 目 己 的 用 户 名 登录 时 , 可 以 使 用 su Csubstitute user: PRHA ME. 然后 提供 root 

密码 ， 将 以 root 权限 运行 。 

» sudo 实用 程序 允许 指定 的 用 户 以 root 特权 运行 选 定 的 命令 ， 而 他 们 都 以 其 目 身 登录 。 

可 以 设置 sudo 以 允许 特定 用 户 执行 需要 root 特权 的 具体 任务 ， 而 无 须 授予 这 些 用 户 对 
整个 系统 的 root 特权 。 

a ”一旦 系统 局 动 并 运行 在 多 用 户 模 式 中 ， 可 以 登录 为 root 用 户 。 然 后 提供 root 密码 ， 将 

以 root 特权 运行 。 
a ” 某 些 程序 在 启动 时 需要 密码 (其 密码 或 root 密码 ， 由 命令 和 系统 配置 而 定 ) 。 当 提供 
453, JEFA root 特权 运行 。 当 退出 该 程序 时 ， 停 止 以 特权 用 户 运 行 。 当 不 需要 或 不 
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打算 一 下 以 root 特权 登录 ， 此 设置 可 防止 这 样 做 。 
a 任何 用 户 都 可 以 创建 一 个 setuid (设置 用 户 ID) 文件 。setuid 程序 代表 文件 的 所 有 者 运 
行 ， 拥 有 上 所 有 者 所 有 共 备 的 全 部 访问 特权 。 当 使 用 root 特权 ， 可 以 将 root 所 拥有 的 文件 
的 权限 更 改 到 setuid。 当 一 个 普通 用 户 执 行 一 个 由 root 拥有 的 文件 ， 并 且 具 有 setuid 权 
限 ， 则 该 程序 具有 有 效 的 root 特权 。 换 句 话 说， 该 程序 可 以 做 root 特权 能 做 而 一 般 程 
序 不 能 做 的 任何 事情 。 用 户 的 特权 不 会 改变 。 因 此 ， 当 程序 运行 完毕 后 ， 所 有 用 户 的 
特权 仍 和 程序 启动 之 前 一 样 。 由 root 所 拥有 的 setuid 程序 都 非常 强大 并 对 系统 安全 极 
其 危险 ， 这 了 豆 是 为 什么 系统 很 少 包 含 这 些 程序 的 原因 。root 用 户 所 拥有 的 setuid 程序 的 
例子 包括 passwd, at 和 crontab. 
由 于 root 拥有 的 setuid 程序 允许 不 知道 root 密码 的 人 ， 不 用 sudo Wia ARIE root 特权 ， 它 
们 是 恶意 用 户 的 诱 人 目标 ,此 外 , 使 正常 程序 月 尝 的 编程 错误 可 以 在 setuid 程序 中 变 成 root 漏洞 。 
系统 应 尽 可 能 少 有 这 些 程序 。 通过 使 用 nosuid 选项 挂 载 一 个 文件 系统 , 可 以 在 文件 系统 级 别 禁 用 
setuid 程序 。 还 可 以 使 用 SELinux 禁用 setuid 程序 。 在 Fedora/RHEL 未 来 的 版 本 中 将 删除 所 有 的 
setuid 文件 ， 参 阅 fedoraproject.org/wiki/Features/RemoveSETUID. 
值得 提醒 的 是 ,不 要 在 互联 网 上 人 允许 root 访 问 。 葵 止 用 户 通过 网 络 以 root 登 录 是 Fedora/RHEL 
的 默认 策略 。/etc/securetty 文件 必须 包含 希望 用 户 能 够 以 root 身份 登录 的 所 有 设备 名 称 。 然 而 ， 
可 以 使 用 ssh 通过 网 络 以 root 登录 , 因为 Fedora/RHEL 中 安装 的 ssh 不 遵循 securetty 或 access.conf 
中 的 指示 。 此 外 ， 在 /etc/ssh/sshd config P, Fedora/RHEL 将 PermitRootLogin 设置 为 yes (默认 
设置 ) ， 以 允许 root 使 用 ssh 登录 。 为 了 使 系统 更 安全 ， 将 PermitRootLogin EMN nos 
1. 使 用 su 获取 root 特权 
安装 Fedora/RHEL 时 ， 用 户 为 root 账号 分 配 一 个 密码 。 因 此 ， 可 以 使 用 su 获得 root 特权 ， 
而 无 须 做 进一步 的 设置 。 
su 工具 可 以 产生 一 个 shell， 或 者 执行 一 个 指定 用 户 〈 包 括 root) 身份 和 特权 的 程序 。 
a ”在 命令 行 上 跟随 su 之 后 的 是 用 户 名 ; 如 果 使 用 root 特权 或 知道 用 户 的 密码 ， 然 后 将 具 




































































有 该 用 户 的 身份 。 
a 当 发 出 一 个 不 市 参数 的 su 命令 时 , su 默认 产生 一 个 具有 root 特权 (必须 提供 root 4 f) 
的 shell。 








当 发 出 su 命令 以 使 用 root 特权 ，su 产生 一 个 新 的 shell， 显 示 刘 和 是 示 符 。 可 以 终止 这 个 shell: 

按 Control-D 或 发 出 exit 命令 返回 到 正常 状态 (之 前 的 shell 和 提示 符 ) 。 不 带 任何 参数 的 su 命 

令 会 改变 用 户 和 组 ID， 但 对 环境 的 改变 却 是 最 小 的 。 例 如 ， 妈 出 su 命令 之 后 ，PATH ARAA 

化 。ID 实用 程序 显示 用 户 和 组 ID 以 及 关联 的 组 。 在 下 面 的 例子 中 ， 从 context 开始 的 信息 涉及 
SELinux: 
$ pwd 


/home/sam 




















S echo $PATH 
Pig eue lex: ci A DISSE EO GIBT BUS Local/sbiLin:/usrc/ sbin: / sbin: /home/ samon 
STEA 


a ETO a a co a TEO a E sec O e E Op Ee cm 


NN 
p poma 
SEER: “WH” ZRA Linux 系统 安全 防护 FE 


$ su 

PAS NOTO 

# pwd 

/home/sam 

t echo SPATH 

RE odes 

# id 

uro Coo) gE dE NN root) dqeoups-o(n7oot) a EIn daemon) sss d acdm) 

# exit 

[cue 

5 

当 给 出 su- 命 令 (可 以 用 -1 或 -login 替换 连 字 符 ) ，su 提供 一 个 root 登录 shell: 就 好 像 以 root 

身份 登录 一 样 。 不 仅 shell 的 用 户 和 组 ID 匹配 root， 而 且 环境 也 与 以 root 身份 登录 时 相同 。 登 录 
shell 在 显示 提示 符 之 前 执行 相应 的 启动 文件 ， 并 且 工 作 目 录 也 被 设置 为 同 以 root (root) 吴 份 登 
录 时 的 工作 目录 。PATH 也 被 设置 为 好 像 以 root 号 份 登录 一 样 , 通 单 在 /bin 和 /usr/bin 之 前 包含 /sbin 
和 /usr/sbin 目录 。 


$ gu = 








Be 

# pwd 

JS HE 

# echo $PATH 


/usr/local/sbin:/usr/local/bin:/sbLn:/bin:/usr/sbine/usrce/boin:/roort/oLn 


可 以 使 用 市 -c 选项 的 su 以 root 特权 运行 一 个 命令 ， 当 命令 执行 完毕 后 返回 到 原来 的 shell. 
在 下 而 的 例子 中 ，Sam 尝试 以 目 己 的 身份 (非特 权 用 户 ) 设置 系统 时 钟 。 在 Sam 输入 date 之 后 ， 
date 实用 程序 显示 错误 消息 。 下 面 是 Sam 所 输入 日 期 的 扩展 版 。 当 他 使 用 su 运行 date 以 设置 系 
统 时 钟 时 ，su 会 提示 他 输入 密码 ， 他 输入 root 密码 ， 然 后 命令 成 功 。 引 号 是 必要 的 ， 因 为 su-c 
把 该 命令 作为 单个 参数 执行 。 
a le 














dapes Cannot oer Jate. OPera ION NOE PErmitted 
Tue Dec 28 14:48:00 PST 2010 

pcc ci MSN 

Pe sSSwords 


Tue Dee 26 14:48:00 BST 2010 
下 面 的 例子 首先 表明 ， 不 允许 Sam AIEE. Am, MEE su-c 和 root 密码 的 使 用 ，Sam 使 
用 root 特权 整 可 以 终止 进程 。 


er cat Ed edis EC S 








Paeh tica Ed Doe i ct EErEE 
S gu ec UlnId 45 42992" 


Password: 
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最 后 一 个 例子 将 和 - c 选项 结合 ， 以 显示 如 何在 root 环境 中 使 用 root 特权 运行 一 个 命令 : 
$ su -c pwd 


Password: 


/home/sam 


v SU — —O Due 


Password: 


/ root 


使 用 root 特权 时 ， 保 存在 PATH 中 的 目录 越 少 ， 惑 越 有 可 能 使 用 root 特权 执行 一 个 不 受信 
任 的 程序 。 如 果 可 能 的 话 ， 在 root 的 PATH 中 只 保留 默认 目录 ， 如 /sbin 和 /usr/sbin。 一 定 不 要 把 








工作 目录 包含 在 PATH P. W: .或 : :在 PATH 中 的 任何 地 方 ， 或 作为 PATH 中 最 后 一 个 元 素 ) 。 
2. 使 用 sudo 获取 root 特权 


如 果 sudo Cwww.sudo.ws) 被 设置 为 不 能 使 用 ， 但 知道 现 有 root 密码， 参考 下 面 的 “快速 设 
置 ” 说 明 : 关于 设置 sudo 以 便 可 以 使 用 它 获 得 root REC. 
使 用 sudo， 而 非 root 账户 ， 进 行 系统 管理 ， 具 有 许多 优点 。 








当 运 行 sudo， 需 要 的 密码 并 非 root 密码 ， 这 样 只 需 记 住 一 个 密码 即 可 。 

sudo 实用 程序 记录 其 执行 的 所 有 命令 。 如 果 犯 了 一 个 错误 ， 此 日 志 可 用 于 系统 审计 来 
EW HIERIE o 

sudo 实用 程序 记录 发 出 sudo 命令 的 用 户 。 在 有 多 个 管理 员 的 系统 上 ， 该 日 志 告 诉 哪些 
HF RH T sudo 命令 。 没 有 sudo， 束 无 从 知道 哪个 用 户 使 用 root 特权 友 出 一 个 命令 。 
sudo 实用 程序 比 使 用 su 和 root 账户 可 以 实现 更 细 粒 度 的 安全 策略 。 使 用 sudo， 可 以 使 
特定 用 户 执 行 尾 定 命 令 ， 而 使 用 经 典 的 root 账户 设置 ， 束 不 能 这 样 做 。 

使 用 sudo 使 得 恶意 用 户 更 难 获得 对 系统 的 访问 权 。 当 有 一 个 未 锁定 的 root 账户 时 ， 亚 
意 用 户 一 开始 天 知道 他 想 了 破解 的 账户 名 。 当 root 账户 被 锁 住 时 ， 座 用户 为 进入 系统 了 吏 
不 得 不 先 确定 用 户 名 和 密码 。 

党 ' 理 许多 系统 的 root 密 公 是 具有 挑战 性 的 。 如 果 不 写 下 来 《并 把 它们 存储 在 安全 的 地 
方 )， 记 住 每 个 系统 的 密码 是 很 难 的 ， 并 有 旦 检索 密码 也 很 耗 时 。 使 用 sudo， 即 使 是 完 
全 的 root shell 访问 ， 使 得 在 大 量 的 系统 上 获得 root 特权 ， 并 跟踪 每 个 系统 上 获得 root 
特权 的 用 户 ， 使 这 样 的 任务 变 得 更 容易 。 












































有 些 用 户 质疑 sudo 不 如 su 安全 。 因 为 都 依靠 密码 ， 它 们 共 孕 相同 的 长 处 和 短处 。 如 末 冤 但 
被 攻破 ， 系 统 就 会 大 打折 扣 。 但 是 ， 如 果 sudo 允许 执行 一 项 任务 的 用 户 密码 被 破解 ， 系 统 整 体 
不 会 有 风险 。 因 此 ， 如 果 使 用 得 当 ，sudo 权限 结构 的 更 细 粒 上 度 使 其 比 su 更 安全 。 

对 于 设置 系统 来 说 ， 使 用 sudo 可 能 并 不 总 是 最 好 的 、 安 全 的 方式 。 在 由 单个 用 户 使 用 的 系 
统 上 ， 使 用 sudo 与 小 心 使 用 su 和 root 密码 之 则 没有 太 大 的 区 别 。 相 比 之 下 ， 在 有 多 个 用 户 的 系 




















统 上 ， 特 别 是 在 具备 中 央 管 理 的 系统 网 络 上 ，sudo 可 以 设置 得 比 su 更 安全 。 
以 下 行 在 /etc/sudoers 文件 中 ， 人 允许 wheel 组 的 成 员 使 用 sudo 来 取得 root 特权 : 


$wheel ALL=(ALL) ALL 


如 果 注 释 挥 此 行 ( 在 RHEL M Fedoral5 之 前 的 版 本 中 ) ， 采 用 root 特权 ， 使 用 visudo 来 删 
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除 前 导 哈 希 标记 GD ， 以 便 wheel 组 的 成 员 能 获得 root 特权 。 
下 一 步 就 是 使 用 root 特权 ， 运 行 usermod-a 和 usermod-G wheel 命令 ， 把 被 授予 root 特权 的 
用 户 名 添加 到 wheel 组 中 。 在 下 面 的 例子 中 用 sam 蔡 代 该 用 户 名 。 


Hm -a -G wheel sem 





# grep wheel /etc/group 
wheel: x:10: root; sam 

默认 情况 下 ， 首 次 运行 时 ，sudo SERKA (E root 密码 ) 。 此 时 ，sudo 设置 了 时 间 
玲 。 提 供 密码 后 ， 基 于 该 时 间 戳 ， 五 分 钟 内 sudo 不 会 再 次 提示 输入 窒 码 。 

在 下 面 的 例子 中 ，Sam 尝试 以 目 己 的 映 份 (非特 权 用 户 ) 设置 系统 时 钟 。date 实用 程序 显示 
错误 消息 ， 后 边 是 Sam 所 输入 日 期 的 扩展 版 。 当 他 使 用 sudo 运行 date 以 设置 系统 时 钟 时 ，sudo 
提示 他 输入 其 密码 ， 然 后 命令 成 功 。 

lee 7 dS O 





daten CanDo set debes Operation NoE Permitted 
SS raketa 00 OUI dE 
See 
[suco] es on tOr same 
E E a bl 
接 下 来 ，Sam 使 用 sudo 凶 载 文件 系统 。 因 为 他 古 在 之 前 sudo 命令 的 五 分 钟 六 发 出 该 命令 ， 
因此 无 须 提 供 密码 : 
E un en re 
S 
现在 ，Sam 使 用 -1 选项 来 检 奏 sudo 允许 运行 哪个 命令 。 由 于 按照 前 和 面 “ 快 速 设 置 ” 的 解释 
来 设置 sudoers 文件 ， 他 被 允许 以 任何 用 户 运 行 任 何 命令 。 
euor l 








用 户 sam 可 能 在 此 主机 上 运行 以 下 命令 : 
(CET ct 

用 户 可 以 授予 root 特权 来 编辑 一 个 文件 ， 主 要 包括 以 下 情况 。 

a ”使 用 -e 选项 ， 或 被 用 作 sudoedit 时 ，sudo 以 root 特权 编辑 其 参数 命名 的 文件 。 默 认 情 
况 下 ，sudo 使 用 vi 编辑 器 。 

a ”任何 以 root 特权 运行 命令 的 用 户 都 可 以 使 用 -e 选项 。 要 给 其 他 用 户 使 用 root 特权 编辑 
任何 文件 的 权限 ， 需 要 在 sudoers 文件 中 指定 该 用 户 可 以 执行 sudoedit 命令 。 

a 以 这 种 方式 调用 编辑 器 ， 在 该 用 户 环境 以 最 少 特 权 运 行 此 编辑 器 。sudo 实用 程序 第 一 
次 会 把 要 编辑 的 文件 复制 为 属于 该 用 户 的 一 个 临时 文件 。 如 果 该 文件 不 存在 ，sudo 创 
建 一 个 属于 该 用 户 的 新 文件 。 一 旦 用 户 编 辑 完 该 文件 ，sudo 将 其 复制 回 原来 的 地 方 ( 并 
恢复 为 原来 的 权限 ) 。 

当 有 几 个 需要 以 root 特 权 运 行 的 命令 ， 生 成 一 个 root shell 可 能 会 更 容易 ， 只 需 发 出 该 命令 

而 不 必 在 每 个 命令 前 面 键入 sudo， 并 从 shell 退 出 。 这 种 技术 会 破坏 一 些 内 置 入 sudo 的 保护 ， 所 
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以 要 慎重 使 用 ， 记 得 尽快 返回 到 非 root shell。 使 用 sudo-i 生 成 root shell: 
$ pwd 
/home/sam 
lo 
# id 
Urd ONTO E gud root)eroms-ox oot) xb x caenmonm)se sse 
# pwd 
ee 
# exit 
Logout 
5 

在 这 个 例子 中 ，sudo 派 生 了 一 个 root shell， 它 显示 一 个 # 提 示 人 符 提醒 Sam 他 正在 以 root 特 权 
运行 。id 实 用 程序 显示 该 用 户 运 行 shell 的 里 份 。exit 命 令 ( 也 可 以 使 用 Control-D 组 合 ) 终 I 上 root 
shell， 将 Sam 返 回 到 其 正常 状态 和 他 之 前 的 shell 和 提示 符 。 

在 前 面 的 例子 中 ，pwd 内 建 命令 显示 由 -i 选项 创建 的 环境 修改 后 的 样子 。 此 选项 派生 一 个 
root 登 录 shell (与 以 root 映 份 登录 的 用 户 环 境 相 同 的 shell) ， 并 执行 root 的 局 动 文件 。 在 发 出 sudo 
-i 命令 之 前 ，pwd 内 建 命令 显示 /home/sam 为 Sam 的 工作 目录 ; 执行 该 命令 后 ， 它 显示 /root (root 
的 主 目录 ) 为 其 工作 目录 。 使 用 -s 选 项 派生 一 个 root shell， 而 无 须 修 改 环 境 。 当 调用 不 带 选 项 
的 sudo 时 ， 它 运行 在 未 修改 的 环境 中 指定 的 命令 。 为 了 展示 此 功能 ， 下 面 的 例子 调用 不 市 选项 
的 sudo 来 运行 pwd。 以 这 种 方式 运行 ， 命 令 的 工作 目录 不 会 发 生 改 变 。 

$ pwd 


/home/sam 





























E Seo pRa 
/home/sam 
为 虽然 该 sudo 派 生 的 shell 以 root 特 权 执 行 lS， 该 用 户 正 在 运行 的 非特 权 shell 将 输出 进行 了 
重 定向 ， 用 户 的 shell 无 权 写 入 到 /root， 所 以 下 面 的 命令 将 会 失败 。 


Sl c root xS Sc 











-bash: /root/ls.sam: Permission denied 
有 儿 种 方法 解决 这 个 问题 。 最 简单 的 是 将 整个 命令 行 传递 到 sudo 中 运行 的 shell; 
AR cm ele SS TH 
bash-c 选 项 派生 了 一 个 shell， 来 执行 该 选项 后 边 的 学 符 串 ， 然 后 终止 。sudo 实 用 程序 以 root 
特权 运行 这 个 shell。 必 须 引 用 该 字符 串 ， 以 防止 非特 权 shell 解 释 其 中 的 特殊 字符 。 还 可 以 使 用 
sudo-i 生 成 一 个 root shell 来 执行 该 命令 ， 然 后 从 特权 shell 退 出 。 
可 以 使 用 命令 行 选项 来 控制 sudo 如 何 运 行 命令 。 以 下 是 sudo 命 令 行 的 语法 : 
sudon Por ten cres ense 
其 中 options 是 一 个 或 多 个 选项 ，command 是 要 执行 的 命令 。 如 条 没有 -u 选 项 ，sudo 以 root 
特权 运行 command。 
下 和 面 是 一 些 较 毅 见 的 options《〈 选 项 ) 。 完 整 列 表 请 参阅 sudo 的 手册 页 。 
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-b 
(background) ÆJ £351] command. 
-e 
Cedit) ， 使 用 此 选项 ，command 是 一 个 文件 名 ， 而 不 是 命令 。 此 选项 会 使 sudo 以 root 特 权 ， 
使 用 由 SUDO_EDITOR、VISUAL 或 EDITOR 环 境 变 量 命名 的 编辑 器 ， 来 编辑 command 文 件 。 默 
认 是 vi 编辑 器 。 男 外 ， 还 可 以 使 用 不 和 带 任 何 选项 的 sudoedit 实 用 工具 。 使 用 这 种 技术 ， 编 辑 器 不 
会 以 root 特 权 运 行 。 
-i 
Cinitial login environment) 为 root 派 生 在 /etc/passwd 中 《或 为 由 -u 指 定 的 另 一 个 用 户 ) 指定 
的 shell 运行 root( 或 其 他 用 户 的 ) 的 局 动 文件 ,一 些 例外 (例如 ,不 改变 TERM), 不 要 市 command。 

















-k 

(kill) 重 置 该 用 户 运 行 此 命令 的 时 间 惟 , 这 意味 看 该 用 户 下 次 运行 sudo 时 必须 输入 其 密码 。 
-L 

(list defaults) 列 出 在 sudoers 文 件 中 预 设 行 设 置 的 参数 。 不 要 带 command。 
-] 





(list commands) FI h £oYE3s1Tsudoll] Hl J^ ERRA 3e 1TH) gm s ASI command. 
-sS 
(shell) 产生 一 个 如 在 /etc/passwd 文 件 中 指定 的 新 root (或 为 由 -u 指 定 的 男 一 个 用 户 ) shell. 
H-OSMBL, HAA. ANE command. 
- u user 
以 user 特 权 运 行 command。 没 有 这 个 选项 ，sudo 以 root 特 权 运 行 command。 














3. Rog sudo 


安装 后 ， 只 有 仔细 配置 ，sudo 才 会 安全 和 可 徘 。sudo 配 置 文 件 是 /etc/sudoers。 可 以 编辑 该 
文件 ， 以 赋予 特定 用 户 只 能 够 以 root 特 权 运 行 某 些 特定 命令 〈 而 非 任何 命令 ) 的 能 力 。 还 可 以 
限制 这 些 用 户 只 能 使 用 某 些 特定 的 选项 或 参数 运行 命令 。 或 者 可 以 设置 sudo， 使 一 个 特定 用 户 
当 以 root 特 权 运 行 命令 时 ， 不 能 使 用 一 个 特定 的 选项 或 参数 。 

编辑 sudoers 的 最 佳 方法 是 在 命令 中 这 样 使 用 visudo: su -c visudo 命 令 或 sudo visudo» visudo 
实用 程序 锁定 、 编 辑 和 检 和 碍 sudoers 文 件 的 语法 。 默 认 情 况 下 ，visudo 调 用 vi 编辑 器 。 可 以 设置 
SUDO_EDITOR、VISUAL 或 EDITOR 环 境 变量 ， 以 使 visudo 调 用 不 同 的 编辑 器 。 以 下 命令 使 


O BE 


visudo 调 用 nano 编 辑 砷 (nano 包 ) : 
Se 

用 上 所 选择 的 文本 型 编辑 器 符 换 nano。 把 这 个 命令 放 在 局 动 文 件 中 ， 以 每 次 登录 时 目 动 设置 
此 变量 。 值 得 注意 的 是 ， 需 要 始终 使 用 visudo 编 辑 sudoers 文 件 。 

sudoers 文 件 中 的 一 个 语法 错误 ， 就 会 使 得 无 法 使 用 sudo 来 取得 root 特 权 。 如 果 和 直接 编辑 这 
个 文件 (不 使 用 visudo 命 令 ) ， 直 到 友 现 不 能 使 用 sudo， 才 知道 引入 了 语法 错误 。visudo 实 用 程 
序 检查 sudoers 的 语法 后 ， 才 允许 退出 。 如 果 它 找到 了 一 个 错误 ， 会 给 修复 错误 的 选择 ， 不 保存 
对 文件 的 更 改 并 退出 ;或 保存 对 文件 的 更 改 并 退出 。 最 后 一 个 选择 通 弟 是 较 拳 的， 所 以 visudo 
用 (DANGER!) 标记 它 。 
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在 sudoers 文 件 中 ， 注 释 以 # 写 开交， 可 以 出 现在 一 行 的 任何 地 方 。 除 了 注释 ， 这 个 文件 包 
售 三 种 闫 型 的 条 目 : 用 户 特权 规范 、 别 名 和 默认 值 。 这 些 条 目 各 占 一 行 。 可 以 通过 使 用 反 冬 杠 
CO. 来 继续 一 行 。 
指定 用 户 特权 的 行 格 式 如 下 【等 号 两 边 的 空 日 是 可 选 的 〉: 
ee 
» user list 指定 本 规范 行 适 用 的 用 户 。 该 列表 可 以 包 全 用户 名 、 组 〈% 前 绥 ) 以 及 用 户 别 
名 (下 一 证 )。 可 以 使 用 内 置 命令 alias ALL 来 使 该 行 适用 于 所 有 用 户 。 
» host list 指定 本 规范 行 适用 的 主机 。 访 列表 可 以 包含 一 个 或 多 个 主机 名 、 了 P 地 址 或 主机 
别名 。 可 以 使 用 内 置 命令 alias ALL 来 使 该 行 适用 于 所 有 系统 ， 参 考 sudoers 文件 。 
=  runas list 指定 运行 command list 中 命令 的 用 户 ， 当 带 -u 选项 调用 sudo 时 。 该 列表 可 以 
包含 用 户 名 、 组 (% 前 级 ) 以 及 使 用 runas 列 名 《在 下 一 和 讨论 ) 。 它 必须 括 在 括号 内 。 
没有 runas list, sudo 假定 为 root。 可 以 使 用 内 置 命令 alias ALL 来 使 该 行 适 用 于 所 有 的 
用 户 和 组 。 
a command list 指定 本 规范 行 适用 的 实用 程序 。 此 逐 号 分 隔 的 列表 可 以 包含 实用 程序 名 、 
实用 程序 的 目录 名 以 及 命令 别名 (在 下 一 市 讨论 ) 。 所 有 名 称 必 须 是 绝对 路 径 名 ; H 
录 名 必须 以 一 个 冬 杠 (/) 结束 。 如 来 命令 前 面 加 上 一 个 惊叹 写 (!1) ， 则 是 排除 该 命令 。 
可 以 使 用 内 置 命 令 alias ALL 来 使 该 行 适用 于 所 有 的 命令 。 
在 command list 中 包含 的 学 符 串 sudoedit， 赋 予 user list 中 的 用 户 使 用 root 特 权 编 辑 文 件 的 权 
限 。 如 果 对 command list 中 的 命令 用 个 双 引 号 〈" ") 引起 来 ， 用 户 将 无 法 指定 任何 命令 行 参数 ， 
其 中 包括 该 命令 的 选项 。 或 者 可 以 指定 参数 , 包括 通配符 , 来 限制 允许 用 户 对 访 命 令 使 用 的 参数 。 
以 下 用 户 特权 规范 允许 Sam 在 所 有 系统 HALLI E) 上 使 用 sudo 来 挂 载 和 他 载 文件 系统 
(Broot 特 权 运 行 nount 和 umount) ， 参 考 包 合 本 规范 的 sudoers 文 件 : 
SS 
(root? runas list 是 可 选 的 。 如果 省 略 它 ，sudo 人 允许 用 户 以 root 特 权 运 行 command list 中 的 命令 。 
在 下 面 的 例子 中 ，Sam 要 利用 这 些 特 权 。 他 不 能 直接 运行 unount， 而 是 必须 调用 sudo 来 运行 它 。 


S whoami 















































oam 
SONONE dS dre 
uUnoumbsoniceroobeearneunmiuedevsdbn e RIEomI muse 
SACS Sm oUm TUS d e 
[sudo] password for sam: 
5 
如 果 用 下 面 的 一 行 蔡 换 上 述 sudoers 中 的 该 行 ，Sam 束 无 法 邮 载 /p03， 尺 官 他 仍然 可 以 凶 载 
其 他 任何 文件 系统 ， 并 可 以 安 冯 任 何 文 件 系统 : 
sam ALL-(root) /bin/mount, /bin/umount, !/bin/umount /p03 
sudoers 中 前 面 行 的 结果 随后 显示 。sudo 程 序 不 提示 输入 密码 ， 因 为 Sam 在 最 后 五 分 钟 内 输 
过 目 己 的 密码 。 
Ono ps 








Sorry, user sam is not allowed to execute '/bin/umount /p03' as root on 
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Foc lose. 
以 下 行 限制 Sam 挂 载 和 利 载 已 挂 载 在 p01、Amp02、mp03 和 /p04 上 的 文件 系统 : 
| 
以 下 命令 显示 的 结 末 是 : 
Se 
Ne 
Toca MOSTA 
tn 
5 
在 sudoers 中 的 以 下 行 允许 wheel 组 成 员 的 用 户 使 用 sudo 来 取得 root 特 权 : 
tr Allows people in group wheel to run all commands 


$wheel ALL=(ALL) ALL 


i Members of the admin group may gain root privileges 
人 
VE HEP BEBO S3 FIT PR RES CHHSESZCXIIALLZZRO 。 如 注释 所 表明 的 ， 此 行 允 许 
wheel 组 的 成 员 〈 组 名 前 面 加 一 个 百 分 号 指定 : %wheel) 以 任何 用 户 “〈 括 号 内 的 ALL) 运行 任 
何 命令 〈 最 右边 的 ALL) 。 当 不 带 忆 选项 调用 sudo 实 用 程序 ，sudo 以 root 特 权 运 行 指定 的 命令 ， 
大 部 分 时 间 是 这 样 使 用 sudo 的 。 
如 果 将 前 面 sudoers 中 的 行 按 如 下 修改 ， 它 会 允许 wheel] 组 的 成 员 以 任何 用 户 运 行 任何 命令 ， 但 
有 一 个 例外 : 不 允许 他 们 运行 passwd 来 更 改 root 密 人 码 (虽然 他 们 可 以 获得 root 特 权 并 能 手动 编辑 它 o 
$wheel ALL=(ALL) ALL, !/usr/bin/passwd root 
别名 可 让 重 命 名 和 /或 对 用 户 、 主 机 或 命令 进行 分 组 。 以 下 是 别名 定义 的 格式 : 
sae oves a c stas dme 
其 中 alias type 是 别名 的 类 型 (包括 User Alias. Runas Alias. Host Alias. Cmnd Alias) , 
alias_name 是 别名 的 名 称 《〈 约 定 为 全 部 大 写字 母 ) alias list 是 一 个 逗号 分 隔 的 构成 别名 的 一 个 
或 多 个 元 素 的 列表 。 别 名 元 到 前 面 的 感叹 号 〈!) 是 对 它 的 人 否定。 
User Alias 
HPZ Halas list 与 用 户 特 权 规 范 〈 在 上 一 币 讨论) 的 user_list 相 同 。 来 上 自 sudoers 文 件 的 
下 面 的 几 行 定 义 了 三 个 用 户 别 名 : OFFICE、ADMIN 和 ADMIN2。 第 一 行 别 名 定义 的 alias list 
包括 用 户 名 zach、sam 和 sls; 第 二 行 包括 两 个 用 户 名 和 admin 组 的 成 员 ; 第 三 行 包括 除 Max 外 的 
admin 组 的 所 有 成 员 。 


en Ee 









































Oe or I PI ru a 
De M pM E e e 
Runas Alias 
runas 列 名 的 alias list 与 用 户 特 权 规 范 《〈 在 上 一 下 讨 论 ) 的 runas_ list 相同 。 下 面 的 SM runas 
别名 包括 sam 和 sls 用 户 名 : 


eoe en 
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Host Alias 

主机 别名 仅 在 sudoers 文 件 被 运行 多 个 系统 的 sudo 引 用 时 才 有 意义 。 主 机 别名 的 alias list 与 用 户 
特权 规范 (在 上 一 市 讨论 〉 的 host_list 相 同 。 以 下 行 定义 的 LCL 别 名 包括 名 为 guava 和 liplum 的 系统 : 

(Be se Oe = ei 

如 果 想 在 此 列表 中 使 用 完全 合格 的 主机 名 〈hosta.example.com 而 不 只 是 hosta) ， 必 须 设置 
fqdn 标 志 。 但 是 ， 这 样 做 可 能 会 降低 sudo 的 性 能 。 

Cmnd Alias 

命令 别名 的 alias_ list 与 用 户 特权 规范 的 command listfHIs]s — P TE eg 9] Bd — OCT, 
包含 在 尾部 以 /表示 的 目录 中 ， 该 目录 包括 所 有 这 样 的 文件 : 

Sme one PP blsio enu trabe dota ole e vtm A bore db eolit e 

Defaults (Options) 

EH Defaults KHET, PJO E DOROELXG DL SAGA E. EESK P HAC REA ELI P n 
尔 型 (on 或 off) 或 字符 串 型 的 标志 。 在 一 个 默认 行 上 命名 一 个 标记 以 打开 它 ， 在 其 前 面 加 上 一 
个 ! 以 关闭 它 。 下 和 面 的 sudoers 文 件 中 的 一 行将 关闭 lecture 和 fqdn 标 志 ， 并 打开 tty_tickets: 

Bosom cMM esu M MEC cere 






































env reset 

fEsudo Kk E ELER EAE tf 7 (1,5 LOGNAME, SHELL. USER, USERNAME, MAIL ZI 
SUDO *4bE. Eon. Hf. Wpsudoers TJI 9. 

fqdn 

(fully qualified domain name: 完全 合格 域名 ) 在 sudoers 文 件 中 的 FQDN 上 执行 DNS 奉 找 。 

当 设 置 了 这 个 标志 ， 可 以 在 sudoers 文 件 中 使 用 FQDN， 但 这 样 做 可 能 会 对 sudo 的 性 能 产生 负面 
影响 ， 特 别 是 如 果 DNS 不 能 正常 工作 时 。 妆 设置 了 这 个 标志 ， 必 须 使 用 本 地 主机 的 官方 DNS 名 
称 ， 不 能 用 别名 。 如 果 hostname 返回 一 个 FQDN， 则 不 需要 设置 这 个 标志 。 默 认 是 on。 

insults 

HHFA DRAIT, Sosa. BAXAHJinsults. SAU off. 7 Wpasswd tries. 

lecture-freq 

控制 sudo 在 密码 提示 之 前 显示 提醒 消息 的 频率 。freq 可 能 的 值 是 never、once 和 always。 指 
定 !lecture 与 指定 为 never 的 freq 是 相同 的 。 默 认 是 once。 

mail always 

当 用 户 运行 sudo 时 ， 给 mailto 用 户 发 送 电 子 邮件 。 默 认 是 off。 

mail badpass 

当 用 户 运 行 sado 时 输入 一 个 错误 的 黎 码 时 ， 给 mailto 用 户 发 送 电 子 邮件 。 默 认 是 off。 

mail no host 

当 一 个 用 户 的 用 户 名 在 sudoers 文 件 中 ， 但 在 本 地 主机 上 没有 运行 命令 的 特权 时 运行 sudo 
的 ， 给 mailto 用 户 发 送 电子 邮件 。 默 认 是 off。 

mail no perms 

当 用 户 的 用 户 名 在 sudoers 文 件 中 ， 但 没有 权限 运行 被 请 求 命令 (运行 sudo) 的 ， 给 mailto 
用 户 发 送 电子 邮件 。 上 默认 是 off。 
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mail no user 

HR IP A EsudoersSC fF P HI! hT sudo, ZimailtoH ^ RRETA. SATA Xeon. 

mailsub-subj 

(mail subject) 将 用 于 警告 和 错误 消息 的 默认 电子 邮件 主题 从 默认 的 #*#* SECURITY 
information for %h ##*# 更 改 为 Subj。sudo 实 用 程序 在 subj 内 将 %h 扩 展 到 本 地 系统 的 主机 名 。 如 果 
subj 包 含 shell 特 殊 字 和 人 符 ， 把 它 放 在 引号 之 间 。 

mailto=eadd 

给 eadd (电子 邮件 地 址 ， 默 认 是 root) 发 送 sudo 的 警告 和 错误 消息 。 如 果 eadd 包 含 shell 特 殊 
字符 ， 把 它 放 在 引号 之 间 。 

passwd timeout=mins 

mins 是 sudo 密 码 超时 的 分 钟 数 。 值 为 0( 零 ) 表示 密码 不 会 超时 。 默 认 值 为 5。 

passwd tries=num 

num 是 为 啊 应 sudo 密 人 提示 并 在 sudo 退 出 之 前 ， 用 户 可 以 输入 错误 密码 的 次 数 。 默 认为 3。 
73 Winsultssilllecture. 














rootpw 

使 sudo 只 接受 root 密 人 码 以 响应 其 提示 答 。 因 为 无 论 是 要 求 的 密码 或 root 密 人 码 ，sudo 痢 发 布 相 
同 的 提示 符 ， 开 司 这 个 标 意 可 能 会 混 消 用 户 。 默 认 是 off， 使 sudo 提 示 运 行 sudo 的 用 户 输 入 密 但 。 

shell noargs 

当 不 市 任何 参数 调用 时 ， 会 使 sudo 无 须 改变 环境 丈 派 生 一 个 root shell。 默 认 是 off。 此 选项 
与 sudo 的 -s 选 项 是 相同 的 。 

timestamp timeout=mins 

mins 是 sudo 时 间 戳 有效 的 分 钟 数 。 设 置 mins 为 -1 会 使 时 间 礁 永远 有 效 ; 设置 为 0〈 零 ) 会 
使 sudo 始 终 提示 输入 密 介 。 默 认 值 为 $。 

tty tickets 

使 sudo 基 于 每 个 tty 验 证 用 户 ， 而 不 是 基于 每 个 用 户 。 默 认 是 on。 

umask-val 

val 是 sudo 用 来 运行 该 用 户 指 定 命令 的 umask 值 。 将 val 设 置 为 0777, 以 保留 用 户 的 umask 值 。 
BA fH 0022. 

4. 锁定 root IKA (AIBR root 密码 ) 

如 果 决 定 要 锁定 root 账 户 ， 发 出 su-cpasswd-l root 命 令 。 通 过 在 其 前 和 面 加 两 个 惊叹 写 CIO, 
此 命令 将 使 /etc/shadow 中 的 加 密 密 人 码 设 置 为 无 效 。 可 以 通过 删除 惊叹 号 来 解锁 该 账户 或 友 出 下 
面 示例 中 所 示 的 命令 。 

5. 解锁 root 账户 

如 果 决 定 解锁 锁定 的 root 账 户 , 发 出 下 面 的 命令 。 此 命令 假定 可 以 使 用 sudo 来 取得 root 特 权 ， 
并 通过 给 它 分 配 一 个 冠 码 来 解锁 root 账 户 : 


$5 sudo passwd root 
































[sudo] password for sam: 


Chanmndgesndepaeswordtorouser root: 
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New password: 
Retype new password: 


passwds cde auphentescatromtokens updated Se ee 
6. 允许 普通 用 户 运 行 特 权 命 令 
consolehelper 实 用 工具 使 得 通常 只 能 由 root 特 权 用 户 运 行 的 系统 程序 更 容易 由 普通 用 户 运 
^T. PAM 对 用 户 进 行 喘 份 验证 ， 可 以 设置 信任 所 有 控制 台 用 户 ， 要 求 输入 用 户 密 码 ( 非 root 密 
1) ， 或 在 授予 信任 之 前 输入 root 密 码 。consolehelper 的 概念 基础 是 ， 可 能 要 把 对 控制 台 有 访问 
权限 的 任何 人 看 作 是 值得 信赖 的 。 例 如 ，Sam 可 以 用 目 己 的 号 份 在 控制 台 上 登录 ， 无 须知 道 root 
窗外 就 可 以 运行 reboot。 
要 了 解 consolehelper 的 工作 原理 ， 可 以 参考 这 两 个 halt 文 件 : 
ose deg slm lg ms xoa Abest: 



































ee 
Varese aoro decisio ee somit oec SS Ec oomsoueel eng 
在 Fedora 下 ，/sbin 中 的 文件 链接 到 /bin/systemctl; ZERHEL F Jl £EPZ $ll/sbin/reboot. ŒX 
个 系统 上 ，/usr/bin 中 的 文件 都 是 到 /usr/bin/consolehelper 的 一 个 链接 。 这 些 链 接 文件 部 是 可 执行 
AES 
5 file /bin/systemctl /usr/bin/consolehelper 
"oS Aci tene e SESS Imp eccomsI e tac TE CIO CIC EE 
/usr/bin/consolehelper: ELF 32-bit LSB executable, Intel 80386 ... 
在 root 的 PATH 变量 中 ，/sbin 通 常 先 于 /usrvbin。 因 此 ， 当 用 户 以 root 特 权 运 行 在 root 登 录 环 
境 中 发 出 halt 命 令 ，shell 将 执行 Fedora 下 的 /bin/systemctl reboot 或 RHEL 下 的 /sbin/reboot。 
和 E 一 个 普通 用 户 的 PATH 人 变量 中 ，/usr/bin 通 第 和 完 于 /sbin (如 来 PATH 包 含 /sbin〉。 因 此 ， 当 
一 个 普通 用 户 发 出 一 个 reboot 命 令 ，shell 将 执行 /usr/bin/consolehelper (consolehelper 实 用 程序 ) 。 
consolehelper 做 什么 取决 于 如 何 设 置 PAM。 默 认 情 况 下 ，consolehelper 并 不 需要 root 鹤 代 ; 
任何 用 户 都 可 以 发 出 reboot 命 令 来 重启 系统 。 


EZI 企业 Linux 进程 安全 防护 


Linux 是 一 个 多 用 户 、 多 任务 的 操作 系统 。 在 这 样 的 系统 中 ， 各 种 计算 机 资源 “如 文件 、 
内 存 、CPU 等 ) 的 分 配 和 管理 都 以 进程 为 单位 。 为 了 协调 多 个 进程 对 这 些 共享 资源 的 访问 ， 操 
作 系 统 要 跟踪 所 有 进程 的 活动 ， 以 及 它们 对 系统 资源 的 使 用 情况 ， 从 而 实施 对 进程 和 资源 的 动 
态 官 理 。 进 程 在 一 定 条 件 下 可 以 对 诸如 文件 、 数 据 库 等 客体 进行 操作 。 如 果 进 程 用 作 其 他 不 法 
用 途 ， 将 会 给 系统 市 来 重大 危害 。 在 现实 生活 中 ， 许 多 网 络 黑 客 痢 是 通过 种 植 “ 木 号 ”的 办 法 
来 达到 破坏 计算 机 系统 和 入 侵 的 目的 ， 而 这 些 “ 木 马 ” 程 序 无 一 例外 需要 通过 进程 这 一 方式 在 
机 右上 运行 才能 发 挥 作用 。 男 外 ， 许 多 破坏 程序 和 攻击 手段 部 需要 通过 破坏 目标 计算 机 系统 的 
合法 进程 尤其 是 重要 系统 进程 ， 使 得 系统 不 能 完成 正常 工作 其 至 无 法 工作 ， 从 而 达到 捧 毁 目标 
计算 机 系统 的 目的 。 作 为 服务 右 中 占 绝 大 多 数 市 场 份额 的 Linux 系 统 ， 要 切实 你 证 计算 机 系统 的 
安全 ， 我 们 必须 对 其 进程 进行 监控 和 保护 。 
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Linux 操 作 系统 包括 以 下 三 种 不 同类 型 的 进程 ， 每 种 进程 都 有 其 目 己 的 特点 和 属性 。 


sa 交互 进程 : 由 一 个 shell 局 动 的 进程 。 交互 进程 既 可 以 在 前 台 运 行 , 也 可 以 在 后 台 运 行 。 


a 批 处 理 进 程 : 这 种 进程 和 终端 没有 联系 ， 是 一 个 进程 序列 。 
a 守护 进程 : Linux 系统 启动 时 局 动 的 进程 ， 并 在 后 台 运 行 。 
上 述 三 种 进程 各 有 各 的 作用 ， 使 用 场合 也 有 上 所 不 同 。 


5.4.1 





确定 Linux 下 的 重要 进程 








K 5-2 列 出 了 Linux 系 统 中 一 些 比较 重要 的 守护 进程 以 及 其 所 具有 的 功能 , 用 户 可 以 通过 使 
用 这 些 进 程 方便 地 使 用 系统 以 及 网 络 服务 。 


acpld 

amd 

apmd 

amd 
anacron 
arptables jf 
arpwatch 
autofs 
bootparamd 
bluetooch 


crond 
chargen 
chargen-udp 
cpuspeed 
dhcpd 


cups 


daytime 


daytime-udp 
dc server 
dc client 
diskdump 


echo 


R 5-2 Linux 重要 守护 进程 列表 
功能 说 明 

acpid 是 为 奉 代 传统 的 APM 电源 管理 标准 而 推出 的 新 型 电源 管理 标准 
目 动 安装 NFS 网络 文件 系统 ) 
高 级 电源 管理 
目 动 安装 NFS 守护 进程 
一 个 上 日 动 化 运行 任务 守护 进程 
为 arptables 网 络 的 用 户 控 制 过 滤 的 守护 进程 
记录 日 志 并 构建 一 个 在 LAN 接口 上 看 到 的 以 太 网 地 址 和 IP 地 址 对 数据 库 
目 动 安装 管理 进程 automount， 与 NFS 相关， 依赖 于 NIS 服务 器 
引导 参数 服务 器 ， 为 LAN 上 的 无 盘 工 作 站 提供 引导 所 需 的 相关 信息 
蓝牙 服务 器 守护 进程 
crond 是 UNIX 下 的 一 个 传统 程序 ， 类 似 计 划 任 务 
使 用 TCP 协议 的 chargenserver，chargen (CharacterGeneratorProtocol) 是 一 种 网 络 
服务 ， 主 要 功能 是 提供 类 似 远程 打字 的 功能 
使 用 UDP 协议 的 chargenserver 
监测 系统 空 町 百分比， 降低 或 加 快 CPU 时 钟 速 度 和 电压 ， 从 而 在 系统 空闲 时 将 能 
源 消 耗 降 为 最 小 ， 而 在 系统 繁忙 时 最 大 化 加 快 系统 执行 速度 
局 动 一 个 DHCP (动态 IP 地 址 分 配 ) 服务 需 
cups (Common UNIX Printing System) 是 通用 UNIX 打印 守护 进程 ， 为 Linux 提供 
第 三 代打 印 功能 
使 用 TCP 协议 的 Daytime 守护 进程 ， 该 协议 为 客户 机 实现 从 远程 服务 器 获取 日 期 
和 时 间 的 功能 
使 用 UDP 协议 的 Daytime 守护 进程 
使 用 SSL 安全 套 接 字 的 代理 服务 器 守护 进程 
使 用 SSL 安全 套 接 字 的 客户 靖 守 护 进程 
服务 磺 人 磁盘 备份 守护 进程 
服务 磺 回 显 客户 数据 服务 守护 进程 
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守护 进程 


echo-udp 
eklogin 
gated 


gpm 


gssftp 
httpd 


inetd 


innd 
iptables 
irda 

isdn 
irqbalance 
krb5-telnet 
klogin 
keytable 
kshell 


kudzu 


ldap 

lm seroems 
Ipd 
mdmonitor 
messagebus 
microcode ctl 
mysqld 


named 
netplugd 


netdump 
netfs 


nfsd 
nfslock 


ntpd 


功能 说 明 
使 用 UDP 协议 的 服务 器 回 显 客户 数据 服务 守护 进程 
接受 rlogin 会 话 签证 和 用 kerberos5 加 密 的 一 种 服务 的 守护 进程 
网 天 路 由 守护 进程 
gpm (General Purpose MouseDaemon) 守护 进程 为 文本 模式 下 的 Linux 程序 如 mc 
(MidnightCommander) 提供 了 鼠标 的 支持 
使 用 kerberos5 认证 的 FTP 守护 进程 
Web Jl 45-28 
因特网 操作 守护 程序 。 监 探 网 络 对 各 种 它 管 理 的 服务 的 需求 ， 并 在 必要 的 时 候 有 局 动 
相应 的 服务 程序 
Usenet 新 闻 服 务 郁 守护 进程 
iptables [Jj Jis ^T 3 3E RE 
红外 端口 守护 进程 
isdn 启动 和 中 止 服务 守护 进程 
对 多 个 系统 处 理 器 环境 下 的 系统 中 断 请 求 进 行 负载 平衡 的 守护 程序 
使 用 Kerberos5 认证 的 Telnet 守护 进程 
远程 登录 守护 进程 
该 进程 的 功能 是 转载 在 /etc/sysconfig/keyboards 里 定义 的 键盘 映射 
kshell 守护 进程 
便 件 目 动 检测 程序 ， 会 自动 检测 硬件 是 否 发 生变 动 ， 并 相应 进行 便 件 的 添加 、 删 除 
EI 
ldap (Lightweight Directory Access Protocol) 目录 访问 协议 服务 器 守护 进程 
检测 主板 工作 情况 守护 进程 
T ENIRI AF 
RAID 相关 设备 的 守护 程序 
D-BUS 是 一 个 库 ， 为 两 个 或 两 个 以 上 的 应 用 程序 提供 一 对 一 的 通信 
可 编码 以 及 发 送 新 的 微 代码 到 内 核 以 更 新 IntelIA32 系列 处 理 器 守护 进程 
一 个 快速 、 高 效 、 可 靠 的 轻型 SQL 数据 库 引 擎 守护 进程 
DNS 服务 器 
netplugd (Network Cable Hotplug Management Daemon) 守护 程序 ， 用 于 监控 一 个 
或 多 个 网 络 接口 的 状态 ， 当 某 些 事件 触发 时 运行 一 个 外 部 脚本 程序 
远程 网 络 备 份 服务 器 守护 进程 
NetworkFilesystemMounter,. iZXEEEZCR UE NFS, SAMBA 和 NCP 网 络 文件 系统 
NFS 服务 器 
NFS 是 一 个 流行 的 通过 TCP/IP 网 络 共享 文件 的 协议 , 此 守护 进程 提供 了 NFS 文件 
锁定 功能 
Network time Protocol daemon〈 网 络 时 间 校 正 协议 ) 


















































守护 进程 
network 
psacct 
pemcia 
portmap 
postgresql 
proftpd 
pppoe 
random 
rawdevices 
rhnsd 
routed 
rsync 
rsh 
rwhod 


rstatd 


ruserd 


rwalld 


saslauthd 
sendmail 
smb 
snmpd 
squid 
sshd 
smartd 
syslog 
time 
time-udp 
tux 


vsftpd 
vncserver 


xfs 
xinetd 


ypbind 
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功能 说 明 
激活 /关闭 局 动 时 的 各 个 网 络 接口 守护 进程 
该 守护 进程 包括 儿 个 工具 用 来 监 探 进程 活动 的 工具 ， 包 括 ac、lastcomm、accton 和 sa 
主要 用 于 文 持 笔记 本 电脑 接口 守护 进程 
该 守护 进程 用 来 支持 RPC 连接 ，RPC 被 用 于 NFS 以 及 NIS 等 服务 
PostgreSQL 关系 数据 库 引 擎 
proftpd 是 UNIX 下 的 一 个 配置 灵活 的 FTP 服务 器 的 守护 程序 
ADSL 连接 守护 进程 
保存 和 恢复 系统 的 高 质量 随机 数 生 成 器 ， 这 些 随 机 数 是 系统 一 些 随机 行为 提供 的 
在 使 用 集群 文件 系统 时 用 于 加 载 raw 设备 的 守护 进程 
RedHat 网 络 服务 守护 进程 。 通 知 官方 的 安全 信息 以 及 为 系统 打 补 本 
该 守护 程序 文 持 RIP 协议 的 目 动 卫 路 由 表 维 护 
remotesync 远程 数据 备份 守护 进程 
远程 主机 上 启动 一 个 shell， 并 执行 用 户 命令 
允许 远程 用 户 获 得 运行 rwho 守护 程序 的 机 器 上 所 有 已 登录 用 户 的 列表 
一 个 为 LAN 上 的 其 他 机 器 收集 和 提供 系统 信息 的 守候 进程 
远程 用 户 定位 服务 ， 这 是 一 个 基于 RPC 的 服务 ， 它 提供 关于 当前 记录 到 LAN 上 一 
个 机 器 日 志 中 的 用 户 信 息 
激活 rpc.rwall 服务 进程 ， 这 是 一 项 基于 RPC 的 服务 ， 人 允许 用 户 给 每 个 注册 到 LAN 
机 器 上 的 其 他 终 靖 写 消 县 
使 用 SASL 的 认证 守护 进程 
邮件 服务 器 sendmail 
Samba 文件 共 孚 /打印 服务 
本 地 人 徐 单 网 络 管理 守护 进程 
代理 服务 器 squid 守护 进程 
OpenSSH 服务 器 守护 进程 。Secure Shell Protocol 可 以 实现 安全 地 远程 管理 主机 
SelfMonitor Analysisand Reporting Technology System， 监 探 你 的 人 硬盘 是 否 出 现 故障 
一 个 让 系统 引导 时 启动 syslog 和 klogd 系统 日 志和 守候 进程 的 脚本 
该 守护 进程 从 远程 主机 获取 时 间 和 日 期 ， 采 用 TCP 协议 
该 守护 进程 从 远程 主机 获取 时 间 和 日 期 ， 采 用 UDP 协议 
在 Linux 内 核 中 运行 Apache 服务 器 的 守护 进程 
vsftpd 服务 右 的 守护 进程 
VNC (Virtual Network Computing， 虚 拟 网 络 计 算 )， 它 提供 了 一 种 在 本 地 系统 上 显 
未 远程 计算 机 整个 “ 吕 面 ”的 轻 量 型 协议 
XWindow 字 型 服务 器 守护 进程 ， 为 本 地 和 远程 X 服务 器 提供 字 型 
文 持 多 种 网 络 服务 的 核心 守候 程序 
为 NIS 网 络 信息 系统 ) 客户 机 激活 ypbind 服务 进程 
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守护 进程 功能 说 明 
yppasswdd NIS H1 Jl 25 35 51 3 ERE 
ypserv NIS 主 服务 器 守护 进程 
yum RPM 操作 系统 目 动 升级 和 软件 包 管 理 守 护 进 程 


5.4.2 ”进程 安全 命令 行 管理 方法 
Linux 系 统 提供 了 人 who、w、ps 和 top 等 但 看 进程 信息 的 系统 调用 ， 通 过 结合 使 用 这 些 系统 调 
用 ， 我 们 可 以 清晰 地 了 解 进程 的 运行 状态 以 及 存活 情况 ， 从 而 采取 相应 的 措施 ， 来 确保 Linux 
系统 的 安全 。 
(1) who 命 令 : 该 命令 主要 用 于 俘 看 当前 在 线 上 的 用 户 情 况 。 系 统管 理 员 可 以 使 用 who 命 
令 监 视 每 个 登录 的 有 用户 此 时 此 刻 的 所 作 所 为 : 
# who 
qo: pcr 2/0/30 19 — $1 abs esee CE eB 
(2) w 命 令 : VAfm v 1H] T ons GRASSI HI ToS, Haw wüm I 
能 更 加 强大 ， 它 不 但 可 以 显示 有 人 谁 登录 到 系统 ， 还 可 以 显示 出 这 些 用 户 当 前 正在 进行 的 工作 。 
WwW 命 令 是 who 命 令 的 一 个 增强 版 : 
# w 
并 












































USER TIY FROM LOGINQ IDLE JC PU PCPU WHAT 
TOO puc «Best 141655 Qe mas S 0 
(3) ps 命令 : 是 最 基本 同时 也 是 非常 强大 的 进程 得 看 命令 。 使 用 该 命令 可 以 确定 有 哪些 
进程 正在 运行 和 运行 的 状态 、 进 程 是 否 结束 、 进 程 有 没有 伪 死 、 哪 些 进 程 占用 了 过 多 的 资源 等 。 
ps 命令 可 以 监控 后 人 台 进 程 的 工作 情况 ,因为 后 全 进程 是 不 和 屏幕 键盘 这 些 标 准 输入 /输出 设备 进 
行 通信 的 ， 如 果 需 要 检测 其 情况 ， 可 以 使 用 ps 命令 。 下 面 是 一 个 ps 命令 的 例子 : 
* ps 


























PID TTY TIME CMD 
odio c Quoc USE 
SS (NOI 9)0I 10D)" cexss 
(4) top 命令 : top 命令 和 ps 命令 的 基本 作用 是 相同 的 ， 显 示 系 统 当前 的 进程 和 其 他 
状况 ;但 是 top 是 一 个 动态 显示 过 程 ， 可 以 通过 用 户 鬼 键 来 不 断 刷 新 当前 状态 。 如 果 在 前 
台 执 行 该 命令 ， 它 将 独占 前 台 ， 直 到 用 户 终 止 该 程序 为 止 。 比 较 准 确 地 说 ，top 命令 提供 
了 实时 地 对 系统 处 理 器 的 状态 监视 。 它 将 显示 系统 中 CPU 最 “敏感 ”的 任务 列表 。 该 命令 
可 以 按 CPU 使 用 。 内 存 使 用 和 执行 时 间 对 任务 进行 排序 ; 而 且 该 命令 的 很 多 特性 都 可 以 通 
过 交互 式 命令 或 者 在 个 人 定制 文件 中 进行 设 定 。 下 面 是 一 个 top 命令 的 例子 : 
t top 
ice NR a nl A SOT Nodeeuerccuc dee OS 


























deerat cas busugtib atero dise esee eitarere 0 stopped, 2 zombie 
Grec MUNI Ic M M c MD qns ena ERO ov SE t OI ccc NONE de 


ky orm mE 
LE: 
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Mem: 485736k total, 471828k used, 7908k free, 31252k acie SD 
Ou E ONG DIE ce Ok usec- 1285160k free, 291192k cachea 
EARDER SER BR Te EM FE Hee CIIM TIME+ COMMAND 
2702 BONO E 下 
ZONES 155 OR mtra mmus ES SEE OE, 0:03.62 gnome-terminal 
ZO ee ob OESE E TT E Re aec: 0:02.43 gnome-panel 
ee qs (ers OI DRIED TE Hcc eer es RINT TTC p me ode n 
2190 ou. 15 O02 OD Sm A DO A ee 
le Jb mes ORO enc e E S ORI PO M, Or ne ee de 
Ze i 3, Qus meo TRES TS ONIS D ded O OAOE nan ES 
TET OOE des (SIEG od D UNS TTE MC 0:02.72 gnome-screensav 
Z4 o dL TOO JE eae que EID MEUSE EE MES ee 
TODO TOOR 1/5) Qao Oe 22 mum sse d 0:01.87 gedit 
2L INO E 1D SON E cuc cc gramos T OS Cc 
ZORO RT OOT 2 nn 
Zl el 18 ORDER DEC Zea EO ECT 0840/5; 08. ee addon SHE CO) 
2609 TOOE 155 DNE COINS I cM MS MNT Bo CIE HC 
OO TEXTE 人 
S Ee eE jeg UD DoD SH dq E S EXE Or 
EO 5 
ZEN e Os RT 0 0 0 gs gr p CU OO oe ce le 
a Su BS 0 0 Quee opor S Orco (oret gr C erede Ep Te o Qo bg, 
4 root RIA dg 0 0 DIC NDS USOS eXoIGKO rud 
$i 3 OE 20 = O 0 O 0 0 UO 0:00.06 eventsy0 
Se = 0 0 ys on 0:00.01 khelper 
E OOE PONS 0 0 Ce Se OY (ee ead 
J aS 596 quM ee 0 0 Qc) lel 











以 上 介绍 的 是 目前 在 Linux 下 使 用 最 种 匈 的 进程 状况 奏 看 工具 , 它们 是 随 Linux 套 件 发 行 的 ， 
安 逆 好 系统 之 后 ， 用 尸 吏 可 以 使 用 。 当 然 ， 随 看 开源 的 不 断 发 展 ， 相 信 将 会 有 更 多 的 该 方面 的 
工具 出 现 ， 以 方便 用 户 选 择 和 使 用 。 


5.4.3 ”使 用 进程 文件 系统 管理 进程 


顾名思义 ，PROC 文 件 系统 是 一 个 虚拟 的 文件 系统 ， 通 过 文件 系统 的 接口 实现 ， 用 于 输出 
系统 的 运行 状态 。 它 以 文件 系统 的 形式 ， 为 操作 系统 本 号 和 应 用 进程 乙 间 的 通信 提供 了 一 个 办 
面 ， 使 应 用 程序 能 够 安全 、 方 便 地 获得 系统 当前 的 运行 状况 和 内 核 的 内 部 数据 信息 ， 并 可 以 修 
改 东 些 系统 的 配置 信息 。 必 外 ， 由 于 PROC 以 文件 系统 的 接口 实现 ， 因 此 用 户 可 以 像 访问 普通 
文件 一 样 对 其 进行 访问 ， 但 它 只 存在 于 内 存 之 中 ， 并 不 存在 于 真正 的 物理 磁盘 当中 。 所 以 ， 当 
系统 重 司 和 电源 关闭 的 时 候 ， 访 系统 中 的 数据 和 信息 将 全 部 消失 。 

表 5-3 说 明了 该 文件 系统 中 一 些 重要 的 文件 和 目录 。 
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表 5-3 重要 的 PROC 文件 或 目录 








文件 或 目录 说 明 
/proc/1l 关于 进程 1 的 信息 目录 。 每 个 进程 在 proc 下 有 一 个 名 为 其 进程 号 的 目录 
/proc/cpuinfo 处 理 占 信息 ， 如 类 型 、 制 造 疝 、 型 与 和 性 能 
/proc/devices 当前 运行 的 核心 配置 的 设备 驱动 的 列表 
/proc/dma 显示 当前 使 用 的 DMA 通道 
/proc/filesystems 核心 配置 的 文件 系统 
/proc/interrupts 显示 使 用 的 中 断 
/proc/ioports 当前 使 用 的 IO 端口 
/proc/kcore 系统 物理 内 存 映像 
/proc/kmsg 核心 输出 的 消 县 ， 也 被 送 到 syslog 
/proc/ksyms 核心 从 写 表 
/proc/loadavg 系统 的 平均 负载 
/proc/meminfo 存储 器 使 用 信息 ， 包 括 物 理 内 存 和 swap 
/proc/modules 当前 加 载 了 哪些 核心 模块 
/proc/net 网 络 协 议 状 态 信 息 
/proc/stat 系统 的 不 同 状态 
/proc/version 核心 版 本 
/proc/uptime 系统 局 动 的 时 间 长 度 
/proc/cmdline 命令 行 参数 





人 下面 将 通过 一 个 例子 来 EEE — 
次 明 ， 如 何 使 用 PROC 文 作 系 rr UTEM — 
统 来 获得 进程 的 信息 。 ky 

CIO 首先 使 用 vi 编辑 器 
建立 一 个 C 源 程序 文件 ， 编 译 
后 形成 目标 文件 , 该 文件 的 主 
要 功能 是 进行 计算 (如 何在 
Linux 下 编写 C 程 序 不 是 本 书 
强调 的 内 容 , 请 读者 参看 相关 
的 技术 书籍 和 文档 ) ， 并 保存 
在 home 目录 下 ， 将 其 运行 。 
使 用 ps-ef 命 令 , 则 能 发 现在 系 O RED c T 
统 中 运行 了 proc test 这 样 一 : t e Ac gus io A20 e Ml 
个 进程 ， 如 图 5-4 所 示 。 


> 


/usr/libexec/trashapplet —oaf-a 


2671 























t 
t 
t 
t 
t 
t 
t 
t 
t 
t 
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t 
I t 
root 
t 
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t 
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L 
t 
t 
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滞 | 引 国 [root@cis:/… || © [/] | © [tmp] | ^ [resulttxt (t--| Bl root@cis:~ || 9 





图 5-4 ”显示 proc test 进程 
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(2) 进程 的 基本 信息 网 应 用 程序 GE XU cm 105 Q) 





[= root@cis:/proc = x 
都 会 存放 在 /proc 文 件 系统 文件 亿 MEO ESV ZED PEO HMH 
[rootécis proc]# is /proc 
中 具体 但 BH 在 / 目录 1 1798 2076 2277 2409 2609 2679 2715 323  asound fs mdstat stat 
9 7x M. AE Ele proc 10 1825 2095 2278 2410 2616 2681 2716 324  buddyinfo ide memi nfo swaps 
11 1838 2106 2289 2495 2618 2686 2814 357 bus interrupts misc Sys 
Tes 通过 使 用 如 下 命 令 可 以 1189 1851 2120 2290 2499 2622 2688 2816 391 cmdline iomem modules sysrq-trigger 
137 1872 2132 2296 2502 2625 2690 2817 4 cpuinfo ioports mounts sysvipc 
P" 138 1905 2152 2301 2522 2637 2693 2855 5 crypto irq mpt tty 
Zx rix 元 进程 的 TH 139 1956 2161 2313 2551 2640 2696 2883 6 devices kallsyms  mtrr uptime 
TUB ES JL IZ íT E 140 1968 2173 2386 2581 2647 2700 2885 69 diskstats kcore net version 
A 1671 1972 2184 2391 2584 2653 2703 292 7 dma keys partitions vmcore 
关 信 息 d, 如 图 5.5 所 示 ， NH 1767 1997 2219 2397 2585 2665 2704 EO 72 driver key-users schedstat vmstat 
H/D ZN 1779 2 2230 2398 2592 2671 2709 2952 74 execdomains  kmsg scsi zoneinfo 


1781 2035 2240 2399 2595 2675 2712 2976 790 fb loadavg self 


中 显示 为 系统 中 运行 进程 Ves 2057 2265 2408 2597 297 2013 3 sepi filesystems locks slabinfo 
的 信息 所 存放 的 目录 , 每 个 
进程 对 应 一 个 目录 ，2945 
为 例子 使 用 的 进程 的 详细 
言 息 所 在 目录 。 

(3) 切换 到 2945 H 
录 ， 以 方便 详细 的 查看 进 
程 信息 ， 并 列 出 进程 详细 
地 状态 信息 文件 , 如 图 5-6 


所 示 (bu UB 系统 D - m 140 9) 
人 小。 ET rootGcis:/proc/2945 -0o X 
文件 全 AHO EEV RHOD FESO MHH) 


( 4 ) ^ ix F6 yr = is ipia d, exe loginuid mem mountstats oom score schedstat stat status  wchan 
fd dj k 
auxv cpuset environ ( maps mounts oom ad, root smaps statm task 
中 , status 这 个 状态 文件 是 2945]# P p 
比较 重要 的 ,包含 了 很 多 天 
于 进程 的 有 用 的 信息 , 用户 
可 以 从 这 个 文件 获得 信和 号， 


如 下 所 示 。 











[&&) (5 troot@cis:/… || © UI] | © [tmp] | 2 tresutttxt (t || Bll rootecisupe-] | XL G 


图 5-5 /Is/proc 命令 显示 结果 











[e] E roeas |51] [Dim re [en | 
图 5-6 进程 2945 信息 所 在 目录 


Name: Procite E 

Sea re: EL (FUNI ng) 

SleepAVG: 0$ 

Tgi: 2945 

EO 2945 

BEA ob qi 

TracerPid: 0 

Uad: 0 0 0 0 
Gid: 0 0 0 0 
FDS1Zze: 250 
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人 
mec qd EB 
VmSize: 1484 kB 
A 0 kB 
VmHWM: PAUSE 
VmRSS: 248 KB 
miae 24 kB 
Nuno 88 kB 
DU 4 kB 
VmLib: 1344 kB 

Vine g ZEE 
SEaBrk ODORE 

Ex 090eb000 kB 

Sio Ble cdeg0sB 
ExecLim: 08049000 
ls: l 

Sube s 249, T 017 

Sereno Q0 0: 0:000. 0/ 0190 
See me Oh 
ule lle NOON NNN oe: 
Se (Oe 
Sure cp O00 (0:9 00:0) O0 0) 
GCap vv 
DER OOOO efelr 
Eee 有 


Cpuscadutoweds IE E E E DATAE 


Memo a owe: 1 


其 中 ， 比 较 重 要 的 字段 详细 含义 如 下 : 


Name: 人 
Suecus ss. RC Ee bibat oko y, 

Aro o 2 43 

Pide 2945 

PETO: e e 
TracerPid: 0 

IBS 0 0 0 0 
CN 0 0 0 0 
DS Le 


/ /进程 名 

/ /进程 运行 状态 
77 进 程 组 ID 

/ / Jt F& ID 

/ / &il e ID 

/ /跟踪 调试 进程 ID 





// 进 程 所 对 应 程序 的 UID 
// 进 程 所 对 应 程序 的 GID 
// 进 程 使 用 文件 句柄 大 小 
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5.4.4 “管理 中 常用 的 PROC 文件 系统 调用 接口 


LKM 程 序 员 也 可 以 使 用 标准 的 API 来 使 用 PROC 文 件 系 统 。LKM 甚 至 可 以 导出 内 核 使 用 的 
狐 变 量 和 函数 。 有 关 API 的 完整 介绍 不 是 本 书 所 要 叙述 的 主要 内 容 ， 因 此 在 下 面 我 们 只 是 简单 
地 介绍 一 些 党 用 的 API， 供 读者 在 实际 中 选择 使 用 。 


1. 创建 并 删除 /proc 项 


要 在 /proc 文 件 系统 中 创建 一 个 虚拟 文件 ， 需 使 用 create proc_entry 国 数 。 该 函数 可 以 接收 一 
个 文件 名 、 一 组 权限 和 这 个 文件 在 /proc 文 件 系统 中 出 现 的 位 置 。create_proc_entry 的 返回 值 是 一 
个 proc dir entry 指 针 ( 或 者 为 NULL， 说 明 在 create 时 发 生 了 错误 ) -o MAJ uL n] EAE HC 3 [n] 
的 指针 来 配置 这 个 虚拟 文件 的 其 他 参数 ， 例 如 在 对 该 文件 执行 读 操 作 时 应 该 调用 的 函数 。 
create proc entry 的 原型 和 proc dir entry 结 构 中 的 一 部 分 程序 如 下 : 
/ /有关 PROC 文件 系统 项 的 数据 结构 


S UC el Ne e TC ee er hee oe 





























Sb nt MN I m e NE 


SPECO PEOC ell 


cono e ohar mast // virtual file name 

neoe 1 uoo si es 
ii (^ tbe e 

opel ve. pete Jae tcc og dol 

pU nodcmeooe p pO Once OC TOS // Inode operations functions 
SE PU ee le QU NOCNEROPDS // File operations functions 
SES tg E c6 lulioo iq oc7 sisters EXER // Parent directory 


/ / PROC 文件 系统 的 谈 函 数 


Te adp NEA EMO dom cHIDO IPC EOD 

/ / PROC XC TF REI] E EUR 

Deea OCDE WINNMP MOI CU 0 tale ee fT 
le se // Pointer to private data 
SE eT EEG IPS: "ecco 


^; 

// 删 除 PROC 项 的 函数 

wol TI vedono tele O E "uoieWe a E r Oe Ones mE" tettexe eae ds 

在 后 面 的 例子 中 我 们 将 介绍 如 何 使 用 read proc 和 write proc 命 令 来 插入 对 这 个 虚拟 文件 进 

行 谈 写 的 图 数 。 要 从 /proc 中 删除 一 个 文件 ， 可 以 使 用 remove_proc_entry 函 数 。 要 使 用 这 个 函数 ， 
我 们 需要 提供 文件 名 字符 串 ， 以 及 该 文件 在 proc 文 件 系 统 中 的 位 置 (parent) > parent Zt n] UJ 
为 NULL (表示 /proc 根 目录 〉 ， 也 可 以 是 很 多 其 他 值 ， 这 取决 于 我 们 布 望 将 该 文件 放 到 什么 地 
方 。 表 5-4 列 出 了 可 以 使 用 的 其 他 一 些 父 proc_dir_entry， 以 及 它们 在 文件 系统 中 的 位 置 。 
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表 5-4 一 些 常 用 的 proc_dir_entry 快捷 变量 


名 称 H 录 
proc root fs /proc 
proc net /proc/net 
proc bus /proc/bus 
proc root driver /proc/driver 


2. 回调 函数 


(1) 写 回 调 函 数 。 

我 们 可 以 使 用 write_proc 函 数 回 /proc 中 写 入 一 项 。 这 个 函数 的 原型 如 下 : 
和 直人 证 We 人 

unssgnesibondgq ens ol ad ea: 

filpZz X Sz m EE AHALE CBE TR] ELI 723D. 。buff 参 数 是 传 圳 给 用 户 的 
TI HRS. RIPAK ES E X6 P HP EER, AERA RE RRE. len 23 
定义 了 在 buff 中 有 多 少数 据 要 被 写 入 。data 参 数 是 一 个 指 癌 私有 数据 的 指针 。 在 这 个 模块 中 ， 我 
们 声明 了 一 个 这 种 类 型 的 函数 来 处 理 到 达 的 数据 。Linux 提 供 了 一 组 API 来 在 用 户 空间 和 内 核 空 
则 之 间 移 动 数 据 。 对 于 write_proc 的 情况 来 说 ， 我 们 使 用 了 copy from user 函数 来 维护 用 户 空 间 
的 数据 。 

(2) 读 回 调 函 数 。 

我 们 可 以 使 用 read _ proc 函数 从 一 个 /proc 项 中 旋 取 数据 〈 从 内 核 空 间 到 用 户 空间 ) s 3x ER 
数 的 原型 如 下 : 


CO 








Lint COUNTE, int “eof, void. “darca )z; 

page 参 数 是 这 些 数 据 写 入 到 的 位 置 ， 其 中 count 定 义 了 可 以 写 入 的 最 大 字符 数 。 在 返回 多 页 
数据 (通常 一 页 是 4KB) 时 ， 我 们 需要 使 用 start 和 off 参 数 。 当 所 有 数据 全 部 写 入 之 后 ， 就 需要 
设置 eof (文件 结束 参数 ) 。 与 write 类 似 ，data 表 示 的 也 是 私有 数据 。 此 处 提供 的 page 绥 冲 区 在 
内 核 空间 中 。 因 此 ， 我 们 可 以 御 接 写 入 ， 而 不 用 调用 copy to user. 

(3) 其 他 有 用 的 函数 。 

我 们 还 可 以 使 用 proc mkdir、symlinks 以 及 proc symlink 在 /proc 文 件 系 统 中 创建 目录 。 对 于 
只 需要 一 个 read 函 数 的 简单 /proc 项 来 说 ， 可 以 使 用 create proc read entry， 这 样 会 创建 一 个 /proc 
项 ， 并 在 一 个 调用 中 对 read proc 函数 进 行 初 始 化 。 这 些 函 数 的 原型 如 下 所 示 : 

pe ers 


SE OC el le Rt EO ee TE ne 














SI OC E oOI CIE 





// 创 建 一 个 符号 链接 
Se UC POETE DEI IOCIS ES onc cS 
SELU EEPE C CO IS e nE "norem SE 


SGONnsSt Cnar eS 


第 
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以 恋 函 数 创 建 一 个 proc 目录 项 
Eee 
mode t mode, 
Se le 
人 


M OUS ck os 





// 用 于 从 内 核 空 间 捞 贝 数 据 到 用 户 宇 间 的 图 数 
is 
conste vorio) “Erom, 


unsigned Tong mnm y; 





/ IHA FAH E EEF N Ai 80 PER a HRS] e 
eg 
CO 


ünsioned long n Yy 


/ / REWA IN TFI E PK C 


ool 0 Pree muns Tone eo hi 


/ / REIA V EE CER C 
/* Free a vmalloc'd block of memory */ 


void vfree( void *addr ): 


// 将 符号 导入 到 内 核 
EXPORT SYMBOL ( symbol ); 


L P OCTEIFI PEE SE S ANSU AL 
EXPORT SYMTAB 


TM 企业 Linux 用 户 安 全 管理 


5.5.1 管理 用 户 及 组 文件 安全 


Linux 操 作 系 统 采 用 了 UNIX 传 统 的 方法 ， 把 全 部 的 用 户 信息 保存 为 普通 的 文本 文件 。 用 户 
可 以 通过 对 这 些 文件 进行 修改 来 管理 用 户 和 组 。 本 节 将 对 这 些 文件 的 结构 进行 详细 介绍 。 
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1. 用 户 账 号 文件 一 一 passwd 


/etc/passwd 文 件 是 UNIX 安 全 的 关键 文件 之 一 。 该 文件 用 于 用 户 登 录 时 校 验 用 户 的 登录 名 、 
加 蜜 的 口令 数据 项 、 用 户 ID (UD) 、 默 认 的 用 户 分 组 ID (GID) . HP fili. HPS&TH 
录 以 及 登录 后 使 用 的 shell。 这 个 文件 的 每 一 行 保存 一 个 用 户 的 资料 ， 而 用 户 资料 的 每 一 个 数据 
项 采用 冒号 “: ”分 隔 。 如 下 所 未 : 

LOGNAME: PASSWORD: UID: GID: USERINFO: HOME: SHELL 

ETT I] S DIU S XE t RU Je HJ Dm» Je BEI PA CAEUIDARIGID, REWERA 
常理 员 想 写 入 的 有 天 该 用 户 的 任何 信息 ， 最 后 两 项 是 两 个 路 径 名 : 一 个 是 分 配给 用 户 的 HOME 
目录 ， 为 一 个 是 用 户 登 录 后 将 执行 的 shell (车 为 空格 ， 则 默认 为 /bin/sh〉。 

下 面 是 一 个 实际 的 系统 用 户 的 例子 : 

人 全 

该 用 户 的 基本 信息 如 下 。 

a ”登录 名: cracker. 

a ”加 密 的 口令 表示 : Xe 

= UID: 6018. 

= GID: 6018. 

mn HPA: cracker. 

= HOME Hx: /home/ cracker. 

a ”登录 后 执行 的 shell: /bin/bash。 

用 户 的 登录 名 是 用 户 用 来 登录 的 识别 ， 由 用 户 目 行 选 定 ， 主 要 由 方便 用 户 记 忆 或 者 其 有 一 
ES AITITE H o 

所 有 用 户口 令 的 存放 部 是 加 和 密 的 ， 通 常 采 用 的 是 不 可 逆 的 加 密 算法 ， 比 如 DES (Data 
Encryption Standard， 数 据 加 密 标准 )。 当 用 户 在 登录 提示 符 处 输入 它们 的 口令 时 ， 输 入 的 口令 
将 由 系统 进行 加 密 ， 再 把 加 密 后 的 数据 与 机 磺 中 用 户 的 口令 数据 项 进行 比较 。 如 果 这 两 个 加 密 
数据 死 配 ， 束 可 以 让 这 个 用 户 进 入 系统 。 在 /etc/passwd 文 件 中 ，UID 信 息 也 很 重要 。 系 统 使 用 
UID 而 不 是 登录 名 区 别 用 户 。 一 般 来 说 ， 用 户 的 UID 应 当 是 独一无二 的 ， 其 他 用 户 不 应 当 有 相 
癌 的 UID 数 值 ， 只 有 UID=0 时 可 以 例外 。 任 何 拥有 0 BUDHA RRA RHE RREN ) 
访问 权限 ， 因 此 具备 对 系统 的 完全 控制 。 通常 ， UID 为 0 这 个 特殊 值 的 用 户 的 登录 名 是 “root”。 
根据 惯例 ， 从 0—99 的 UID 保 留用 作 系 统 用 户 的 UID。 如 果 在 /etc/passwd 文 件 中 有 两 个 不 同 的 入 
口 项 有 相同 的 UID， 则 这 两 个 用 户 对 文件 其 有 相同 的 存 取 权 限 。 

每 一 个 用 户 都 需要 有 地 方 保存 专属 于 上 日 己 的 配置 文件 。 这 二 要 让 用 户 工 作 在 日 己 定制 的 操 
作 环 境 中 ， 以 免 改 变 其 他 用 户 定 制 的 操作 环境 ， 这 个 地 方 束 叫 作 用 户 登 录 子 目录 。 在 这 个 子 日 
录 中 ， 用 户 不 仪 可 以 保存 目 己 的 配置 文件 ， 还 可 以 保存 目 己 日 常 工 作 中 用 到 的 各 种 文件 。 出 于 
一 任性 的 考虑 ， 大 多 数 站 点 都 从 /home 开 始 安 排 用 户 登 录 子 日 录 ， 并 把 每 个 用 户 的 子 目 录 命 名 
为 其 上 机 使 用 的 登录 名 。 

当 用 户 登 录 进 入 系统 时 , 都 有 一 个 属于 自己 的 操作 环境 。 用 户 迪 到 的 第 一 个 程序 叫 作 shell。 
在 Linux 系 统 里 ， 大 多 数 shell 都 是 基于 文本 的 。Linux 操 作 系统 带 有 多 种 shell 供 用 户 选 用 。 用 户 
可 以 在 /etc/shells 文 件 中 看 到 它们 的 绝 大 多 数 。 用 户 可 以 根据 目 己 的 喜好 来 选用 不 同 的 shel 进 行 
操作 。 按 照 最 严格 的 定义 ， 在 上 面 所 介绍 的 /etc/passwd 文 件 中 ， 每 个 用 户 的 口令 数据 项 中 并 没 
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有 定义 需要 运行 某 个 特定 。 &ums is n so d) 


root@localhost:/tmp/linux tools/john-1.7.3.1/run 


的 shell, 其 中 列 出 的 是 这 个 IHO MEO FEV PD HED HMH " 
用 户 上 机 后 第 一 个 运行 的 Do ro. 

程序 是 哪个 。 综 上 所 述 , 通 mpeg 
过 使 用 cat 命 令 查 看 Shutdown: iâ rey 
/etc/passwd X: fF ( #cat 
/etc/passwd) ， 可 以 得 到 如 
图 5-7 所 示 的 完整 的 系统 


dy:x:99:99: Nobo sbi g 
rpm:x:37:37::/var/lib/r /sbin/nologin 
账号 y ft. dbus:x:81:81:System message bus:/:/sbin/nologin 
. a * FATA. l 1 Qj f n js 1 ie- 
7 avahi:x:70:70:Avahi daemon:/:/sbin/nologin 
iailnull:x:47 : /var/sp /mqueue: /sbin/nologin 











m null 47:47 ol /mqueu bin/t I 
Wm : smmsp:x:51:51: h n ol Pa xin : /sbi n/nologin 
TA d 件 一 一 nscd:x:28:28:NSCD Daemon:/:/sbin/nologin 

2. 用 H TZ pa vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin 

shad OW haldaemon:x:68:68:HAL daem n: /:/sbin/n 1 gin 
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin 
rpcuser:x:29:29:RPC Service User: /var/lib/nfs: /sbin/nologin 

: VA nfsnobody:x:65534:65534: Anonymous NFS User: /var/lib/nfs: /sbin/nologin 

Linux fi: FH An] 3) 的 加 sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd: /sbin/nologin 
apre STi: :TT:: FA rar apaa h:/sbin/nologin 
ntp:x:38:38: : /etc/ntp: /sbin/nologin 








e 


密 算 法 如 DES 来 加 密 口 令 ， ci Bl rootGlocalh-- J D 计算 机 E | E tmp [E resutt.txt (rt. ] E 
由 于 加 密 算 法 是 不 可 逆 的 ， 图 5-7  /etc/passwd 文件 
所 以 墨客 从 密 文 是 得 不 到 
明文 的 。 但 /etc/passwd 文 件 是 全 局 可 谈 的 ， 加 密 的 算法 是 公开 鸭 ， 恶 意 用 户 取得 了 /etc/passwd 
文件 ， 便 极 有 可 能 破解 口令 。 而 且 ， 在 计算 机 性 能 日 益 提 高 的 今天 ， 对 账号 文件 进行 字典 攻击 
的 成 功率 会 越 来 越 蜗 , 速度 越 来 越 快 。 因 此 , 针对 这 种 安全 问题 , Linux/UNIX 3224] T“ shadow 
《影子 ) 文件 ”机 制 ， 将 加 密 的 口令 转移 到 /etc/shadow 文 件 里 ， 该 文件 只 为 root 超 级 用 户 可 读 ， 
而 同时 /etc/passwd 文 件 的 密 文 域 显示 为 一 个 x， 从 而 最 大 限度 地 减少 了 密 文 泄露 的 机 会 。 
/etc/shadow 文 件 的 每 行 是 8 个 冒号 分 隔 的 9 个 域 ， 格 式 如 下 : 
username: passwd: lastchg: min: max: warn: inactive: expire: flag 
其 中 ， 各 个 域 的 含义 如 表 5-5 Bron: 
表 5-5 /etc/shadow 文件 域名 含义 























域 名 = X 
username HP XI 
passwd 加 密 的 用 户口 令 
lastchg 表示 从 1970 年 1 月 1 日 起 到 上 次 修改 口令 所 经 过 的 天 数 
min 表示 两 次 修改 口令 之 间 人 至少 经 过 的 天 数 
max 表示 口令 还 会 有 效 的 最 大 天 数 ， 如 果 是 99999 则 表示 永 不 过 期 
warn 表示 口令 失效 前 多 少 天 内 系统 同 用 户 发 出 警告 
inactive 表示 禁止 登录 前 用 户 名 还 有 效 的 天 数 
expire 表示 用 户 被 禁止 登录 的 时 间 
flag 你 留 域 ， 暂 未 使 用 
如 下 所 示 的 是 一 个 系统 中 实际 影子 文件 的 例子 : 
Ue OV ZAM a Rn .00090000 
我 们 对 最 后 一 个 用 户 的 信息 进行 解释 ， 访 信息 表明 了 如 下 含义 。 
" 用 户 登 录 名 : liyang. 
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a — JH AILES: liyang 后 紧 跟 的 一 段 乱 人 码 信息 $1$ciY58zQZS 还 VHLSVZZgM75.JGp5Rmyv.。 
a 从 1970 年 1 月 1 日 起 到 上 次 修改 口令 所 经 过 的 天 数 为 : 14633 天 。 

a 需要 多 少 天 才能 修改 这 个 命令 : 0 天 。 

a 该 口令 永 不 过 期 : 采用 99999 表示 。 

as。 ”要 在 口令 失效 前 7 天 通知 用 户 ， 发 出 警告 。 

sa ”禁止 登录 前 用 户 名 还 有 效 的 天 数 未 定义， 以 “: ”表示 。 

a ”用 户 被 禁止 登录 的 时 间 示 定义， 以 “: ”表示 。 

" WAE REH, U“: ”表示 。 

3. 组 账号 文件 一 一 group 


/etc/passwd 文 件 中 包含 看 每 个 用 户 上 默认 的 分 组 ID (GID) 。 在 /etc/group 文 件 中 ， 这 个 GID 
被 映 冉 到 该 用 户 分 组 的 名 称 以 及 同一 分 组 中 的 其 他 成 员 去 。 

/etc/group 文 件 含 有 关于 小 组 的 信息 ，/etc/passwd 中 的 每 个 GID 在 文件 中 应 当 有 相应 的 入 口 
项 ， 入 口 项 中 列 出 了 小 组 名 和 小 组 中 的 用 户 ， 这 样 可 方便 地 了 人 解 每 个 小 组 的 有 用户， 否则 必须 根 
据 GID 在 /etc/passwd 文 件 中 从 头 全 尾 地 寻找 同 组 用 户 ， 这 提供 了 一 个 比较 快捷 的 寻找 途径 。 
/etc/group 文 件 对 小 组 的 许可 权限 的 控制 并 不 是 必要 的 ， 因 为 系统 用 来 目 于 /etc/passwd 文 件 的 
UID、GID 来 决定 文件 存 取 权限 ， 即 使 /etc/group 文 件 不 存在 于 系统 中 ， 具 有 相同 的 GID 用 户 也 可 
以 小 组 的 存 取 许可 权限 共 吾 文件 。 小 组 就 像 登 录用 户 一 样 可 以 有 口令 。 如 果 /etc/group 文 件 入 口 
项 的 第 二 个 域 为 非 空 ( 通 津 用 x 表示 )〉 ， 则 将 被 认为 是 加 密 口 令 。/etc/group 文 件 中 每 一 行 的 内 
容 如 下 。 

a 用户 分 组 名 。 

a 加 过 冤 的 用 户 分 组 口令 。 

a 用 户 分 组 ID 号 (GID) 。 

mn 以 逗号 分 隔 的 成 员 用 户 清单 。 

以 下 是 系统 中 一 个 具体 的 /etc/group 文 件 中 记录 的 例子 : 

acms zx 3 4: OOt, acm, daemon 

以 上 面 文件 第 四 行为 例子 ， 它 说 明 在 系统 存在 一 个 adm 的 用 户 组 ， 它 的 信息 如 下 : 

mn ”用 户 分 组 名 为 adm. 

a ”用 户 组 口令 已 经 加 密 ， 用 “x” 表 未 。 

= ”GID 为 4。 

a ” 同 组 的 成 员 用 户 有 : root. adm. daemon. 

4. 组 账号 文件 一 一 gshadow 

如 同 用 户 账 号 文件 的 作用 一 样 ， 组 账号 文件 也 是 为 了 加 强 组 口令 的 安全 性 ， 防 止 黑 客 对 其 
实行 的 暴力 攻击 ， 而 采用 的 一 种 将 组 口令 与 组 的 其 他 信息 相 分 离 的 安全 机 制 。 其 内 容 如 下 。 

mn ”用户 组 名 。 

a ”加 密 的 组 口令 。 

a ”组 成 员 列 表 。 

下 面 是 系统 中 一 个 具体 的 /etc/gshadow 文 件 的 例子 : 


mail:::mail,postfix,exim 
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以 组 mail 为 例 , 其 加 密 后 的 组 口令 被 隐藏 , 其 组 成 员 包 括 mail、 postfix 和 exim 。 二 








结尾 的 组 表明 没有 组 成 员 ， 但 是 用 户 可 以 目 和 


丁 添加 。 


其 他 的 以 “: ” 


5. letc/skel 目录 





letc/skel H 3 CI E] 5-8) 
一 般 是 存放 用 户 局 动 文件 的 
目录 ， 这 个 目录 是 由 root 权 限 
控制 。 当 我 们 添加 用 户 时 ， 议 
目录 下 的 文件 目 动 复制 到 新 
添加 的 用 户 的 主 目录 下 : 
/etc/skel 目 录 下 的 文件 都 是 隐 
闫 文件 ， 也 丈 是 类似 .file 格 式 
的 ; 用 户 可 通过 修改 、 添 加 、 
删除 /etc/skel 目 录 下 的 文件 ， 
来 为 用 户 提 供 一 个 统一 、 标 
HE SAA HIH A HEE o 

/etc/skel 目 录 下 的 文件 ， 
一 般 是 用 户 用 useradd 和 
adduseríp A 7H] Cuser) 











(Qum 位 置 XQ 
> root@locaihost:/tmp/linux tools/john-1.7.3.1L/run 
XH AEO EEV Hh FES HAH 


[rootélocalhost run]? 1s -la /etc/skel/ 


总 i 
drwxr-xr- 3 root t 4096 01-24 21:15 . 
wxr-xr-x 115 root root 12288 02-22 15:15 .. 
-rw-r—r—- l root t 24 2006-07-12 .bash logout 
-rw-r—-r——- ] root root 176 2006-07-12 .bash profile 
-rw-r—r— l root root 124 2006-07-12 .bashrc 
-rw-r—r—— l root t 515 2006-08-04 .emacs 
rwxr-xr- 3 t t 4096 01-24 20:58 dila 
—rw-r—r— l root t 658 2006-09-12 .zshrc 
[rootélocalhost run]? 





1516 Qj) 


= OR 








(e| | Bl root@localh-…| £e 计算 机 | p/ || D tmp | È result.txt (/t--- | | | 9 
图 5-8 /etc/skel H 3€ 


时 ， 系 统 自动 复制 到 新 添加 用 户 (user) 的 主 目录 下 ; 如 果 用 户 通 过 修改 /etc/passwd 来 添加 用 户 
I, 可 以 自己 创建 用 户 的 主 目录 , 然后 把 /etc/skel 下 的 文件 复制 到 用 户 的 主 目录 下 , 并 要 用 chown 








来 改变 新 用 户主 目录 的 属 主 。 
6. /etc/login.defs 配置 文件 


/etc/login.defs 文件 是 当 
创建 用 户 时 的 一 些 规 划 , 比如 
创建 用 户 时 ， 是 否 需 要 主 目 
x ——— iui 
Edoo 2 ; Fedora 10 
下 的 /etc/login.defs 文 件 的 部 
分 内 容 如 图 5-9 所 示 。 











网 应 用 程序 位 置 系统 命 





rootGlocalhost:/tmp/linux tools/john-1.7.3.1/run 
XR AAO EEV 终端 D PEO MAY) 


# *REQUIRED* 
F Directory where mailboxes reside, _or_ name of file, relative to the 
* home directory. If you do define both, MAIL DIR takes precedence. 


QMAIL DIR is for Qmail 


*QMAIL. DIR Mail dir 
MAIL DIR /var/spool /mai1 
*MAIL FILE .mai 

Password aging controls: 


PASS MAX DAYS 
PASS MIN DAYS 
PASS MIN LEN 

PASS WARN AGE 


i: cH HE HE E IE 2H 


PASS MAX DAYS 99999 
PASS MIN DAYS 0 
PASS MIN LEN 5 
PASS WARN AGE 


Min/max values for 


it It dH 


UID_MIN 
UID_MAX 


' /etc/1o 





gin.defs' 54L, 


Maximum number 


Minimum number 
Minimum ac 
Number of days 


automatic uid 


500 
60000 


Min/max values for automatic gid se 


1416C 


ceptable passw 


of days a pasen may be used. 
of days al sein between password 

length. 

warning given before a password e 


changes. 


xpires. 


selection in useradd 


lection in groupadd 





€) [ 8 rooterocam-- || E 计算 机 


Je J£ tmp Ie 








result txt Ut | — INNEN 9 
图 5-9 /etc/login.defs 文件 
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7. letc/default/useradd 文件 


通过 useradd 添 加 用 户 时 fms 位 置 系统 例 sn Q) 
Y E — =) rootGlocalhost:/tmp/linux tools/john-1.7.3.1/run 
的 规则 文件 , 如 图 5-10 所 示 。 WHO REO EEV ZEO HEO MMH f 




















图 5-10 中 各 项 的 含义 如 sered defuts fie. born cM 
F iu 

=  GROUP-100: HP si : fiet " 
组 ID. 

= — HOME-/home: 把 用 
户 的 主 目录 建 在 
/home 中 。 

a  INACTIVE-1: Jf 
局 用 账号 过 期 停 权 ， 
-1 表示 不 启用 。 

a EXPIRE=: 账号 终 上 上 oO H 
HI, PRERA M 图 my PEET 文件 


局 用 。 

=  SHELL-/bin/bash: 所 用 SHELL 的 类 型 。 

" SKEL-/etc/skel: 默认 添加 用 户 的 目录 、 默 认 文 件 存放 位 置 ; Lc. 当 用 户 用 adduser 
添加 用 户 时 ， 用 户主 目录 下 的 文件 ， 都 是 从 这 个 目录 中 复制 过 去 的 。 


5.5.2 用户 密码 管理 








1. 密码 策略 的 必要 性 


蜜 但 是 用 户 登 录 Linux 系 统 的 钥匙 ， 如 采 没 有 钥 是 总 是 要 费 一 番 力 气 后 ， 才 能 登录 到 目标 
操作 系统 。 无 论 入 侵 者 采用 何 种 远程 攻击 ， 如 果 无 法 获得 管理 员 或 超级 管理 员 的 用 户 密码 ， 怠 
无 法 完全 控制 整个 系统 。 寿 想 访 问 系 统 ， 最 简单 也 是 必要 的 方法 就 是 饭 取 用 户 的 密码 。 因 此 ， 
对 系统 管理 员 账 户 来 说， 最 需要 保护 的 束 是 密码 ， 如 末 密 但 和 被 盗 ， 也 束 意 味 痢 灾难 的 降临 。 

入 侵 者 大 多 是 通过 各 种 系统 和 设置 漏洞 ， 获 得 管理 员 密 人 码 来 获得 管理 员 权 限 的 ， 然 后 ， 再 
实现 对 系统 的 恶意 攻击 。 账 亏 的 弱 密 查 设置 会 使 入 侵 者 易于 破解 而 得 以 访问 计算 机 和 网 络 ， 而 
强 密 人 码 则 难以 破解 ， 即 使 是 密码 破解 软件 也 难以 在 短 时 间 内 办 到 。 密 人 码 破解 软件 一 般 使 用 3 种 
方法 进行 破解 : 字典 狂 解 、 组 合 狂 解 和 其 力 狂 解 。 蝇 无 疑问 ， 破 解 强 密码 远 比 破解 罚 密 人 码 困 难 
得 多 。 因 此 ， 系 统管 理 员 账户 必须 使 用 强 密 人 码 。 

据 统 计 ， 大 约 80% 的 安全 隐患 是 由 于 密码 设置 不 当 引 起 的 。 因 此 ， 密 码 的 设置 无 颖 是 十 分 
讲究 技巧 的 。 在 设置 密码 时 ， 请 遵守 竹 码 安全 设置 原则 ， 该 原则 适用 于 任何 使 用 密码 的 场合 ， 
既 包 括 Windows 操 作 系 统 ， 也 包括 UNIX/Linux 操 作 系 统 。 


2. 密码 的 设置 原则 


(1) 不 可 让 账号 与 密码 相同 。 
如 条 将 黎 码 设置 为 与 用 户 账 吕 相 同 的 话 ， 那 么 几乎 所 有 的 密 但 破解 软件 都 将 轻 而 多 举 地 将 
ac RR UU ORE 
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(2) 不 可 使 用 目 己 的 姓名 。 

使 用 目 己 的 姓 或 名 ， 长 至 是 姓名 作为 密码 ， 实 在 是 不 雯 一 击 。 对 于 本 单位 和 芍 悉 本 单位 的 
人 来 讲 ， 姓 名 无 疑 古 攻击 的 皮 选 ， 因 为 儿 乎 谁 痢 能 猜 得 到 。 为 外 ， 在 许多 入 侵 者 编写 的 密码 猜 
解 字 典 中 ， 往 往 将 百 家 姓 一 一 列 出 ， 并 放 在 字典 的 前 列 。 

G) 不 可 使 用 英文 词组 。 

一 些 常 用 或 别致 的 英文 单词 往往 是 用 户 设 置 密码 时 的 最 爱 。 在 他 们 看 来 ， 这 关 密 码 既 便于 
记忆 ， 双 突显 目 己 的 个 性 。 但 事实 上 ， 那 些 绝顶 聪明 的 入 侵 者 也 早已 狂 到 并 评 细 地 将 其 编 入 密 
人 码 猜 解 字典 之 中 ， 因 此 ， 第 用 英文 词组 绝 不 可 用 作 黎 码 。 

(40. 不 可 使 用 特定 意义 的 日 期 。 

以 具有 特定 意义 的 日 期 作为 密 但 是 任何 人 都 十 分 喜爱 的 。 这 一 闪 日 期 通 和 有 目 己 的 生日 、 
父母 的 生日 、 儿 女 的 生日 、 朋 友 的 生日 、 重 大 市 日 以 及 个 人 纪念 日 等 。 不 用 说 束 悉 的 人 可 以 猜 
得 到 ， 即 使 是 阳 生 人 也 可 以 通过 和 努 举 的 方式 而 得 于。 在 入 侵 者 的 密 但 猜 解 字典 中 ， 儿 乎 全 部 罗 
列 以 上 所 有 的 几 个 组 合 。 

(5) 不 可 使 用 简单 的 密码 。 

一 个 密码 暴力 猜 解 软件 每 秒 钟 可 以 答 试 10 RZE., FARD, FRR, HEIA 
合 的 结 来 束 越 少 ， 也 就 越 容 易 被 攻破 。 

综 上 所 述 ， 奉 要 保证 密码 的 安全 ， 应 当下 循 以 下 规则 : 

a 用户 密码 应 包含 瑞 文 字母 的 大 小 号 、 数 了 学 、 可 打印 字符 ， 甚 全 是 非 打 印字 从 。 建 议 将 

这 些 符 写 排 列 组 合 使 用 ， 以 期 达到 最 好 的 你 密 效 果 。 

a ”用 户 密 码 不 要 太 规 则 ， 不 要 使 用 用 户 姓 名 、 生 日 、 电 话 写 人 码 以 及 沼 用 和 蛙 词 作为 密码 。 

a ”根据 Windows 系统 密码 的 散 列 算法 原理 ， 密 码 长 度 设置 应 超过 7 位， 最 好 为 14 位 。 

» ”和 密 公 不 得 以 明文 方式 存放 在 系统 中 ， 确 保密 人 码 以 加 密 的 形式 写 在 价 盘 上 并 包含 密码 的 

文件 是 只 读 的 。 

a 密码 应 定期 修改 ， 应 避免 重复 使 用 旧 密 码 ， 并 采用 多 套 密 码 的 命名 规则 。 

a ”建立 账号 锁定 机 制 。 一 旦 同一 账号 密码 校 验 错 误 大 干 次 ， 即 断 开 连接 并 锁定 该 账号 ， 

经 过 一 段 时 间 才 解锁 。 

密码 策略 包含 以 下 6 个 策略 。 

a 密友 必须 人 符合 复 洒 性 要 求 。 

" ”密码 长度 最 小 值 。 

=。 ”密码 最 长 使 用 期 限 。 

"  ” 密 公 最 短 使 用 期 限 。 

= 强制 密码 历史 。 

a ”用 可 还 原 的 加 密 来 储存 密 人 码 。 

3. 使 用 密码 攻击 工具 检查 密码 安全 性 


1) John the Ripper 人 简介 

John the Ripper 是 一 个 工具 软件 ， 用 于 在 已 知 密 文 的 情况 下 党 试 破解 出 明文 的 破解 密码 软 
件 。 目 前 的 最 新 版 本 是 1.7.9 版 ， 主 要 支持 对 DES、MDS5 两 种 加 密 方式 的 密 文 进行 破解 工作 。 
它 可 以 工作 于 多 种 不 同 的 机 型 以 及 多 种 不 同 的 操作 系统 之 下 ， 目 前 已 经 测试 过 能 够 正音 运行 的 
操作 系统 有 : Linux x86、freeBSD、x86、Solaris、SPARC、OSF/1 Alpha, DOS, WinNT/WinXP 
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系列 等 。John the Ripper 1.7 是 目前 比较 好 的 破解 密码 工具 ， 在 解密 过 程 中 会 上 自动 定时 存 检 ， 用 
户 可 以 强迫 中 断 解密 过 程 〈 使 用 Ctrl+C 组 合 键 ) ， 下 次 还 可 以 从 中 断 的 地 方 继续 进行 下 去 

(john-restore 命 令 ) 。 任 何 时 候 敲 击 键 盘 ， 用 户 都 可 以 看 到 整个 解密 的 进行 情况 ， 所 有 已 经 被 
破解 的 密码 会 被 保存 在 当前 日 录 下 的 JOHN.POT 文 件 中 ，SHADOW 中 所 有 密 文 相同 的 用 户 会 被 























归 成 一 类 ， 这 样 JOHN 惑 不 会 进行 无 谓 的 重复 荔 动 了 。 在 程序 的 设计 中 ， 关 键 的 密码 生成 的 条 
件 和 被 放 在 JOHNJ.INI 文 件 中 ,用户 可 以 目 行 修改 设置 ， 不 仅 文 持 单 词类 型 的 变化 ， 而 且 文 持 目 己 
编写 C 的 小 程序 限制 密码 的 取 值 方式 。 

2) 安装 John the Ripper 

在 使 用 该 软件 前 ， 我 们 可 以 从 网 上 下 载 其 最 狐 版 本 john-1.7.9 for Linux 版 本 ， 它 包含 DOC、 
SRC 和 RUN 三 个 目录 ， 在 SRC 目 录 下 ， 在 机 闫 上 执行 如 下 命令 即 可 : 


#make 











#make clean linux-x86-any 


"Ruf nDUVHSSIRUNHGK T. XERTWHAA. dU PB: 


fcd 


2 158511] 


*^john -test 
3) 使 用 基本 命令 和 实用 工具 





(1) 基本 命令 。 





John the Ripper 提 供 了 如 下 多 达 10 余 种 的 命令 ， 供 用 户 选 择 使 用 。 








-pwfile:<file>[,..]: 用 于 指定 存放 和 密 文 所 在 的 文件 名 ，【〔 可 以 输入 多 个 ， 文 件 名 以 “，” 
分 隅 ， 也 可 以 使 用 * 或 者 这 两 个 通配符 引用 一 批文 件 ) 。 也 可 以 不 使 用 此 参数 ， 将 文件 
名 放 在 命令 行 的 最 后 即 可 。 

-wordfile: < 字典 文件 名 >-stdin: 指定 的 用 于 解 客 用 的 字典 文件 名 。 也 可 以 使 用 STDIO 
来 输入 ， 就 是 在 键盘 中 和 输入。 

-rules: 在 解密 过 程 中 使 用 单词 规则 变化 功能 。 如 将 答 试 cool 单词 的 其 他 可 能 ， 如 
COOLER. Cool 等 ,详细 规则 可 以 在 JOHN.INI 文件 中 的 [List.Rules:Wordlist] 部 分 查 到 。 
-incremental[:< 模 式 名 称 >]: 使 用 过 历 模式 ， 束 是 组 合 密码 的 所 有 可 能 情况 ， 同 样 可 以 
在 JOHN.INI 文件 中 的 [Incremental:*****] 部 分 人 村 到 。 

-single: 使 用 单一 模式 进行 解密 ， 主 要 是 根据 用 户 名 产生 变化 来 猜测 解密 ， 可 以 消灭 比 
较 低 级 的 用 户 。 其 组 合 规则 可 以 在 JOHN.INI 文件 中 的 [ListRules:Single] 部 分 查 到 ， 我 
们 在 下 面 将 详细 解释 。 

-external:< 模 式 名 称 >: 使 用 自 定义 的 扩展 解密 模式 ， 用 户 可 以 在 john.ini 中 定义 目 己 需 
要 的 密码 组 合 方式 。JOHN 也 在 INI 文件 中 给 出 了 儿 个 示例 ， 在 INI 文件 的 
[List.External:******] 中 所 定义 的 日 订 人 破解 功能 。 

-restore[:< 文 件 名 >]: 继续 上 次 的 破解 工作 ，JOHN 被 中 断后 ， 当 前 的 解密 进度 情况 被 存 
IE RESTORE 文件 中 , 用 户 可 以 拷贝 这 个 文件 到 一 个 狐 的 文件 中 。 如 果 参 数 后 不 市 文 
件 名 ，JOHN 默认 使 用 RESTORE 文件 。 

-makechars:< 文 件 名 >: 制作 一 个 学 符 表 ， 用 户 所 指定 的 文件 如 果 存 在 ， 则 将 会 被 才 话 。 
JOHN 尝试 使 用 内 在 规则 在 相应 密 钥 空间 中 生成 一 个 最 有 可 能 击 中 的 密码 组 合 , 它 会 参 
考 在 JOHN.POT 文件 中 已经 存在 的 密 钥 。 
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a  -show: 显示 已 经 破解 出 的 密码 ， 因 为 JOHN.POT 文件 中 并 不 包含 用 户 名 ， 同 时 用 户 应 该 
输入 相应 的 包含 密码 的 文件 名 ，JOHN 会 输出 已 经 被 解密 的 用 户 连 同 密 人 码 的 详细 表格 。 

a -test: 测试 当前 机 器 运行 JOHN 的 解密 速度 ， 需 要 1 分 钟 ， 它 会 得 出 在 当前 的 情况 下 解 
密 的 各 种 可 能 情况 下 相应 的 解密 速度 ， 如 同时 解密 100 个 用 户 时 的 平均 速度 ， 使 用 遍 
历法 解密 模式 时 解密 的 速度 。salts 指 用 户 个 数 ， 如 果 给 出 的 对 于 100 个 用 户 解密 的 平 
均 速 度 为 18000 次 / 秒 , 那么 表明 同时 对 100 个 用 户 解密 , 解密 的 速度 为 每 个 180 次 / 秒 。 
因为 绝 大 多 数 的 时 间 被 用 于 密 钥 比较 过 程 中 了 。 所 以 应 该 对 用 户 进 行 挑选 。 

a -users:<loginluid>[,..]: 上 只 破解 订 关 型 的 用 户 或 者 属于 茶 个 组 的 用 户 。 如 采 得 到 的 
PASSWD 文件 没有 包含 密 文 ， 那 么 在 得 到 SHADOW 后 应 该 进行 组 合 ，JOHN 的 附带 
程序 UNSHADOW.EXE 可 以 完成 这 一 过 程 ， 当 然 了 ， 用 户 也 可 以 手工 做 。 一般 的 能 够 
进入 CSH 的 用 户 都 是 解密 的 首选 对 象 。 也 可 以 要 UID=0 的 ROOT 级 别 的 用 户 。 

»  -shells:[!]<shell>[,..]: 和 上 和 面 的 参数 一 样 ， 这 一 选项 可 以 选择 对 所 有 可 以 使 用 shell 的 用 
FP ETT RES , 对 其 他 用 户 不 予 理 皮 。“! ” 束 是 表示 不 要 某 些 类 型 的 有 用户。 例如:“-shells: 
csh" o 

a -Salts:[!]<counf>: RAR HP XT «ceoune IK. np ELSE RI IPC REREN, 
尽快 地 得 到 所 需要 的 用 户 的 PASS。 

a  -lamesalts: 指定 用 户 中 密码 所 使 用 的 cleartext。 〈 我 不 大 清楚 此 功能 的 作用 ) o 

a -timeout:< 几 分 钟 >: 指定 解密 持续 的 时 间 是 儿 分 钟 ， 到 时 间 JOHN 目 动 停止 运行 。 

a list: 在 解密 过 程 中 在 屏 大 上 列 出 所 有 正在 尝试 使 用 的 密码 ， 建 议 不 要 使 用 ， 它 会 将 大 
部 分 时 间 良 费 在 显示 上 ， 极 大 地 拖 慢 解密 速度 。 一 般 只 是 适用 于 重 定 同和 输出 到 文件 后 ， 
检验 用 户 所 设 定 的 某 些 模式 是 否 正 常 。 

a ”-beep-quiet: ^ff zz HEISE IE f iE PC 喇叭 叫 一 下 ， 以 提醒 用 户 。 

=  -noname-nohash: 不 使 用 内 存 来 保存 “用 户 名 ”等 内 容 。 

a ”-des-md5: 指定 使 用 的 解密 方式 是 解 DES 还 是 MD5, 对 于 解密 DES 密码 不 用 理会 这 一 
选项 。 

(2) 其 他 实用 工具 。 

除了 口令 破解 程序 之 外 ， 在 这 个 软件 包 中 ， 还 包含 了 其 他 几 个 实用 工具 ， 它 们 对 于 实现 口 
令 人 破解 都 有 一 定 的 帮助 ， 这 些 工 具 都 放置 在 run 目 录 下 ， 下 面 分 别 予 以 简要 介绍 。 

(D unshadow PASSWORD-FILE SHADOW-FILE 

unshadow 命 令 将 passwd 文 件 和 shadow 文 件 组 合 在 一 起 ， 其 结果 用 于 John 破 解 程 序 。 通 单 应 
该 使 用 重 定 癌 方 法 将 这 个 程序 的 结 末 保 存在 文件 中 ， 之 后 将 文件 传递 给 John 破 解 程序 。 

(2 unafs DATABASE-FILE CELL-NAME 

unafs 从 二 进 制 AFS 数 据 库 中 提取 口令 散 列 值 ， 并 生成 John 可 用 的 输出 ， 通 常 应 该 把 这 个 输 
出 重 定 问 到 文件 中 。 

(3 unique OUTPUT-FILE 

删除 字典 表 中 的 重复 词汇 ， 但 不 改变 字典 表 中 各 词 条 项 的 顺序 。 

(4) SEO HT CES S 

"OR. RATE RIEHL PILED AR A CLERI P E EITM e 
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(1) 简单 解密 方式 。 
通常 情况 下 ， 许 多 用 户 的 密码 命名 方式 非常 住 单 ， 比 如 foo、hello、world 等 ， 或 者 很 多 都 是 
与 用 户 名 相同 的 密码 口令 , 那么 我 们 一 般 可 以 先 采 用 简单 解密 方式 来 对 系统 中 的 密码 进行 简单 的 
初步 试探 ， 如 果 发 现 能 够 成 功 破 解 ， 那 么 束 需 要 对 这 些 密码 口令 的 强度 进行 加 强 ， 如 下 所 示 : 


I "/etc/shadow" 








Loaded 2 password hashes with 3 different salts (FreeBSD MD5 [32/32]) 
liyang asang) 
有 

在 上 述 命令 中 ， 我 们 发 现 系统 存在 一 个 liyang 用 户 ， 其 用 户 名 和 密 但 均 为 liyang， 因 而 通过 
最 体 单 的 方式 便 能 将 其 发 现 和 利用 ， 如 果 为 黑客 人 破解 则 将 造成 不 可 设想 的 后 果 ， 因 而 我 们 的 用 
户 应 该 立即 根据 此 种 情况 进行 口令 加 强 。 

(20 字典 解密 方式 。 

用 户 可 以 使 用 字典 文件 来 对 系统 用 户 的 恶 密 查 强 度 进行 试探 和 测试 。 人 们 和 负 用 hello、 
superman. cooler. asdfgh, 123456 等 作为 目 己 的 密码 。 而 -rules 参 数 则 在 此 基础 上 再 加 上 些 变 
化 ， 如 字典 中 有 单词 cool1， 则 JOHN 还 会 答 试 使 用 cooler、CoOl、Cool 等 单词 变化 进行 解密 。 一 
般 视 SHADOW 中 的 用 户 多 少 及 用 户 的 字典 大 小 、 用 户 的 机 器 速度 ,解密 时 间 从 几 小 时 到 几 天 不 
等 。 下 面 给 出 使 用 该 方式 进行 解密 的 例子 ， 假 设 我 们 已 丝 生 成 了 一 个 password.lst 文 件 ， 其 中 包 
含 了 希 用 的 以 字典 单词 为 依据 的 密 但 ， 那 么 我 们 对 系统 中 的 用 户 密 人 码 使 用 访 方 式 进行 试探 性 和 破 
解 ， 由 于 字典 中 保留 了 young 这 样 一 个 单词 ， 因 而 用 户 google 的 密码 所 以 也 被 试探 出 来 ,网络 管 
理 员 同样 需要 对 该 密码 进行 加 固 ， 比 如 添加 适当 的 后 级 、 字 母 和 数字 等 : 

4$ ./john --wordlist-password.lst "/etc/shadow" 



































Loaded 2 password hashes with 2 different salts (FreeBSD MD5 [32/32]) 
young (google) 
gue coea temere DD DEO C ac Da ESTIS Sore o 
(3) 其 他 方法 。 
当然 ， 上 述 两 种 上 只 是 非 负 直观 和 简单 的 方法 ， 但 是 如 果 字 和 典 足 够 完整 和 实用 的 话 ， 那 么 吏 
能 够 全 出 绝 大 多 数 的 脆弱 口令 ， 在 实践 中 ， 我 们 还 可 以 综合 使 用 以 下 四 个 最 第 见 的 选项 ， 来 对 
系统 密码 强度 进行 更 为 充分 的 检 合 和 验证 。 
a -rules: 在 解密 过 程 中 使 用 单词 规则 变化 功能 。 如 将 答 试 cool 单词 的 其 他 可 能 ， 如 
COOLER. Cool 等 ,详细 规则 可 以 在 JOHN.INI 文件 中 的 [List.Rules:Wordlist] 部 分 但 到 |， 
我 们 在 下 面 将 详细 解释 。 
ma ”-incremental[:< 模 式 名 称 >]: 使 用 壳 历 模式 ， 就 是 组 合 密码 的 所 有 可 能 情况 ， 同 样 可 以 
在 JOHN.INI 文件 中 的 [Incremental:*****] 部 分 查 到 ， 我 们 在 下 面 将 详细 解释 。 
» — -external-- Pio A Mo: 使 用 目 定义 的 扩展 解密 模式 ， 用 户 可 以 在 john.ini 中 定义 目 己 需 
要 的 密码 组 合 方式 。JOHN 也 在 INI. 文件 中 给 出 了 几 个 示例 ， 在 INI. 文件 的 
[List.External:******] 中 所 定义 的 日 订 人 破解 功能 。 
a -Testore[:< 文 件 名 >]: 继续 上 次 的 破解 工作 ，JOHN 被 中 断后 ， 当 醒 的 解密 进度 情况 被 存 
放 在 RESTORE 文件 中 ,用户 可 以 拷贝 这 个 文件 到 一 个 新 的 文件 中 。 如 果 参 数 后 不 市 文 
件 名 ，JOHN 默认 使 用 RESTORE 文件 。 
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ETM 企业 Linux 日 志 安全 管理 


5.6.1 Linux 下 的 日 志 分 类 


日 忘 主要 的 功能 有 : 审计 和 监测 。 它 还 可 以 实时 地 监测 系统 状态 ;， 监 测 和 退 踪 侵入 者 等 。 
成 功 地 管理 任何 系统 的 关键 之 一 ， 是 要 知道 系统 中 正在 发 生 什么 事 。Linux 中 提供 了 寞 党 日 志 ， 
并 且 日 志 的 细 市 是 可 配置 的 。Linux 日 志 都 以 明文 形式 存储 ,所 以 用 户 不 需要 特殊 的 工具 就 可 以 
搜索 和 了 阅读 它们 。 还 可 以 编 与 脚本 , 来 扫描 这 些 日 六， 并 基于 它们 的 内 容 去 上 自动 执行 菜 些 功能 。 
Linux 日 六 存储 在 /varvlog 目 录 中 。 这 里 有 几 个 由 系统 维护 的 日 志文 件 ， 但 其 他 服务 和 程序 也 可 
能 会 把 它们 的 日 志 放 在 这 里 。 大 多 数 日 志 只 有 root 账 尸 才 可 以 读 ， 不 过 修改 文件 的 访问 权限 束 
可 以 让 其 他 人 可 读 。 在 Linux 系 统 中 ， 有 四 类 主要 的 日 志 。 
”连接 时 间 日 志 : 由 多 个 程序 执行 ， 把 记录 写 入 到 /var/log/wtmp 和 /var/run/utmp，login 等 
程序 更 新 wtmp 和 utmp 文件 ， 使 系统 管理 员 能 够 跟踪 谁 在 何 时 登录 到 系统 。 
a ”进程 统计 : 由 系统 内 核 执 行 。 当 一 个 进程 终止 时 ， 为 每 个 进程 往 进 程 统 计 文 件 (pacct 
ak acct) 中 写 一 个 记录 。 进 程 统 计 的 目的 是 为 系统 中 的 基本 服务 提供 命令 使 用 统计 。 
: Hx H a: 由 syslogd(C8) 和 守护 程序 执行 。 各 种 系统 守护 进程 用户 程序 和 内 核 通过 syslogd 
(3) 守护 程序 问 文 件 /var/log/messages 报告 值得 注意 的 事件 。 另 外 有 许多 UNIX 程序 创 
f£ His. f HTTP 和 FTP 这 样 提供 网 络 服务 的 服务 器 也 保持 证 细 的 日 志 。 
a ”实用 程序 日 志 : 许多 程序 通过 维护 日 志 来 反映 系统 的 安全 状态 。su 命令 允许 用 户 获 得 
另 一 个 用 户 的 权限 ， 所 以 它 的 安全 很 重要 ， 它 的 文件 为 sulog。 同 样 的 还 有 sudologs 5 
外 ， 诸 如 Apache 等 HTTP WIRE RANAH: access log《〈 客 户 闪 访问 日 六 ) 以 及 
error log URS HE Hos o FTP 服务 的 日 六 记录 在 xferlog 文件 当中 ，Linux 下 邮件 传 
SRI (sendmail〉 的 日 忘 一 般 存 放 在 maillog 文件 当中 。 
FF 述 四 闫 日 志 中 ， 第 用 的 日 忘 文件 如 表 5-6 所 示 。 
表 5-6 Linux 系统 中 常用 的 日 志文 件 
日 志文 件 注 释 
access-log 记录 HTTP/Web 的 传输 
acct/pacct 记录 用 户 命令 













































































boot.log 记录 Linux 系统 开机 目 检 过 程 显 示 的 信息 

lastlog 记录 最 近 儿 次 成 功 登 录 的 事件 和 最 后 一 次 不 成 功 的 登录 
messages 从 syslog 中 记录 信息 〈 有 的 链接 到 syslog 文件 ) 
sudolog 记录 使 用 sudo 发 出 的 命令 

sulog 记录 使 用 su 命令 的 使 用 

syslog 从 syslog 中 记录 信息 

utmp 记录 当前 登录 的 每 个 用 户 的 信息 

wtmp 一 个 用 户 每 次 登录 进入 和 退出 时 间 的 永久 记录 

xferlog 记录 FTP 会 话 信息 











记录 每 一 个 发 送 到 系统 或 从 系统 发 出 的 电子 邮件 的 活动 。 它 可 以 用 来 但 看 用 户 使 用 哪个 系 
统 发 送 工具 或 把 数据 发 送 到 哪个 系统 


maillog 
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5.6.2 使 用 基本 命令 进行 日 志 管 理 


utmp、wtmp 日 志文 件 是 多 数 Linux 日 志 子 系统 的 关键 ， 它 保存 了 用 户 登 录 进 入 和 退出 的 记 
录 。 有 关 当 前 登录 用 户 的 信息 记录 在 文件 utmp 中 ; 登录 进入 和 退出 记录 在 文件 wtmp 中 ; 数据 交 
换 、 关 机 以 及 重启 的 机 器 信息 也 都 记录 在 wtmp 文 件 中 。 所 有 的 记录 都 包含 时 间 惟 。 时 间 惟 对 于 
日 志 来 说 非常 重要 ， 因 为 很 多 攻击 行为 分 析 都 与 时 间 有 极 大 的 关系 。 这 些 文件 在 具有 大 量 用 户 
的 系统 中 增长 十 分 迅速 。 例 如 wtmp 文 件 可 以 无 限 增长 ， 除非 定期 截取 。 许 多 系统 以 一 天 或 者 一 
周 为 单位 把 wtmp 配 置 成 循环 使 用 。 它 通常 由 cron 运 行 的 脚本 来 修改 ， 这 些 脚本 重新 命名 并 循环 
使 用 wtmp 文 件 。 通 常 ，wtmp 在 第 一 天 结束 后 命名 为 wtmp.1; 第 二 天 后 wtmp.1 变 为 wtmp.2 等， 
用 户 可 以 根据 实际 情况 来 对 这 些 文件 进行 命名 和 配置 使 用 。 

utmp 文 件 被 各 种 命令 文件 使 用 , 包括 who、w、users 和 finger。 而 wtmp 文 件 被 程序 last 和 ac 使 用 。 

wtmp 和 utmp 文 件 都 是 二 进 制 文件 ， 它 们 不 能 被 诸如 tail 命 令 剪 由 或 合并 《使 用 cat 命 令 ) 。 
用 户 需要 使 用 who、w、users、last 和 ac 来 使 用 这 两 个 文件 包含 的 信息 。 


1. who 命令 


who 命 令 碍 询 utmp 文 件 并 报告 当前 登录 的 每 个 用 户 。who 的 玖 认输 出 包括 用 户 名 、 终 病 闫 
型 、 登 录 日 期 及 远程 主机 。 使 用 该 命令 ， 系 统管 理 员 可 以 查看 当前 系统 存在 哪些 不 法 用 户 ， 从 
而 对 其 进行 审计 和 处 理 。 例 如 : 运行 who 命 令 显 示 如 下 所 不 : 

































































# who 

ee Sle ZO TOET E Cea 0) 
Boo prs £0 geo ccr Toss eso 
JOY pus 2S es9 co a qr epe 





如 果 指 明了 wtmp 文 件 名 ， 则 who 命 令 但 询 所 有 以 前 的 记录 。 合 令 who /var/log/wtmp 将 报告 
自从 wtmp 文 件 创建 或 删改 以 来 的 每 一 次 登录 。 例 如 : 运行 该 命令 如 下 所 示 : 
# who /var/log/wtmp 


root Su UO = o A 
FOOL prs 2i8db OS Dd. dpa care 
V G6 S 0 AEE E 
POON pu 219 3190/2 — 5240 e ID915 ooo Tee (0 Qnm 
root HO RIO 0 1 
LOOC DESA OI a OO 
POOT ES Zug P EC NON 
[OE 5x 情人 Is 2 2 posae 
root prc 多 
OO prs 2027s e gi 
LOOL IE S ON o D E M E sn) 


2. users 命令 


users 用 单独 的 一 行 打印 出 当前 登录 的 用 户 ， 每 个 显示 的 用 尸 和 名 对 应 一 个 登录 会 话 。 如 宋 一 
个 用 户 有 不 止 一 个 登录 会 话 ， 那 他 的 用 户 名 将 显示 相同 的 次 数 。 运 行 该 命令 将 如 下 所 示 : 
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E 


Ji 
mp 
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# users 


COOL COOL. FOOL 
3. last 命令 


last 命 令 往 回 搜索 wtmp 来 显示 目 从 文件 第 一 次 创建 以 来 登录 过 的 用 户 。 系 统 审理 员 可 以 周 
期 性 地 对 这 些 用 户 的 登录 情况 进行 审计 和 考核 ， 从 而 发 现 其 中 存在 的 问题 ， 确 定 不 法 用 户 ， 并 
进行 处 理 。 运 行 该 命令 ， 如 下 所 示 : 











# last 

POON pues s DD Man Ren 2 ID I en 
EOE PES? Duo iom p "ES E Tte OG cre c 
Poot prs 0.0 人 
RSRS Sat) Mom Eebs 22 Dl eua e gqe er 
reboot SS En POOT motel lS Mom e220 (0 A 
root pus p zr) 六 (roo 
1:01 [or EE H0) SEED X5 CIVI (Dep 
TOOU 20 Sun Feb I = oown (03:20) 
reboot Sae eme oo nez Mox opes Sm Mee 2 dH Isa o (rp) 
15 lE prc ui zo Sat Feb 20 19:36 - down (SIS S0) 
OQ 30 Sat Feb 20 19:36 - down (SOS cse) 
reboot svote DOO om aei ost" EeDEAZ0 I9 34 CO TEET) 
TOS prs 2:02) Stm. eun 44 dog e elena (OQ OP 
TOOU :3 Sun Jan 24 21:47 = OOWn (00:02) 
reboot syotemn DOCCT RE Sure em A GOOS 
reboot Svo tem DOOL 0 0 eS oun Jan 2 (5802103 


wipe ST outer deas (a 
读者 可 以 看 到 ， 使 用 上 述 命令 显示 的 信息 太 多 ， 区 分 度 很 小 。 所 以 ， 可 以 通过 指明 用 户 来 
显示 其 登录 信息 即 可 。 例 如 ， 使 用 last reboot 来 显示 reboot 的 历史 登录 信息 ， 则 如 下 所 示 : 
# last reboot 




















reboot SoBemo oe Om = Mori»: 2 f 230 8151200 
reboot Sov emetbixoo tu 2 nono Os Sn dedere I Dy (10099087028) 
reboot Svet em ood os es Gat keb 207591354 (as Ea) 
reboot Sya tete oo bez doe ore Sumo enu deus 人 
reboot Syo emat oou 7 ovs etu Sioda nm 2 aa COO 02 


wem begins oun Jan 27 2A: 0o 20T 
4. ac 命令 


ac 命令 根据 当前 的 /vavlog/wtmp 文 件 中 的 登录 进入 和 退出 来 报告 用 户 连 接 的 时 间 〈 小 时 ) ， 
如 果 不 使 用 标志 ， 则 报告 总 的 时 间 。 例 如 : ac HÆ) 显示: total 18.47， 如 下 所 示 : 
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* ac 


七 全 EL 


JS HE. 


Jordi 
另外 ， 可 加 一 些 参数 ， 例 如 ，last -u 102 将 报告 UID 为 102 的 用 户 ; 


5. lastlog 命令 











lastlog 文 件 在 每 次 有 用 户 登 录 时 航 租 询 。 可 以 使 用 lastlog 命 令 

















和 上 次 登录 时 间 。 

份 运 行 该 命令 。 
# lastlog 
HPZ 
TOOL 
Io 
daemon 
adm 
lp 
SYNG 
shutdown 
habe 
marl 
news 
LHC 和 
operator 
games 
gopher 
REJS 
nobody 
rpm 
dbus 
avahi 
ma o E 
smmsp 
DESSA] 
vcsa 
haldaemon 
TEC 
rpcuser 


sshd 


SEL 


im H 





运行 该 命令 如 下 所 示 : 


来 目 





最 后 登录 时 间 
人 
O E * 
EM k 
o E * 
AE R 
EMPERI 
E * 
DE re 
a a 
人 
人 
人 
Sov isis DES 
Mari 
EA * 
AM han 
O * 
DMAE ni 
M A * 
o XE * 
** JOE * 
DMAE Ri 
MRE K 
AE * 
O hei 
E E * 
人 全 未 过 全 











last -t 7 表示 限制 上 一 





检查 菏 特 定 用 户 上 次 登录 的 时 
|], 并 格式 化 输出 上 次 登录 日 志 /var/log/lastlog 的 内 容 。 它 根据 UID 排 序 显 示 登 录 名 、Y 
如 果 一 个 用 户 从 未 登录 过 ，1lastlog 显 示 **#*Never logged**. Y XAT 





出 口号 (tty ) 
3H P root 
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pcap xx 从 未 登录 过 *r 
ntp xx 从 未 登录 过 x+ 
gdm xx 从 未 登录 过 xx 
apache xx 从 未 登录 过 xx 
distcache SOUS sie ces 
Postgres ** 从 未 登录 过 ** 
mysql xx 从 未 登录 过 xx 
dovecot 2 
webalizer xx 从 未 登录 过 xxr 
squid xx 从 未 登录 过 xx 
named ** JORXESROSE 
XTS xx 从 未 登录 过 *r 
sabayon xx 从 未 登录 过 *r 
| ee xx 从 未 登录 过 *r 
amanda ipo ID 
cyrus xx 从 未 登录 过 xx 
mailman xx 从 未 登录 过 *r 
ee OHR EI E a 
exim xx 从 未 登录 过 xx 
PELVOXY xx 从 未 登录 过 *r 
quagga pus asi Qu 
radvd CE M 
dap xx 从 未 登录 过 *r 
tomcat asi E 
pegasus xx 从 未 登录 过 xx 
Te xx 从 未 登录 过 *r 
google xx 从 未 登录 过 xx 


5.6.3 ”使 用 syslog 设备 


syslog 已 被 许多 日 志 函 数 采 纳 ， 它 用 在 许多 保护 措施 中 ， 任 何 程序 都 可 以 通过 syslog 记 录 事 
件 。syslog 可 以 记录 系统 事件 ， 可 以 写 到 一 个 文件 或 设备 中 ， 或 给 用 户 友 送 一 个 信息 。 它 能 记 
录 本 地 事件 或 通过 网 络 记录 男 一 个 主机 上 的 事件 。syslog 是 一 种 工业 标准 协议 ， 可 用 来 记录 设 
备 的 日 志 。 在 UNIX 和 系统、 路由器、 交换 机 等 网 络 设备 中 ， 系 统 日 志 〈《System Log?) 记录 系统 中 
任何 时 间 发 生 的 大 小 事件 。 管 理 者 可 以 通过 奉 看 系统 记录 ， 随 时 掌握 系统 状况 。UNIX 的 系统 
日 六 是 通过 syslogd 进 程 记 录 系 统 有 关 事 件 ， 也 可 以 记录 应 用 程序 运作 事件 。 通 过 适当 的 配置 ， 
我 们 还 可 以 实现 运行 syslog 协 议 的 机 器 间 通 信 ， 通 过 分 析 这 些 网 络 行为 日 六 ， 来 奶 踩 掌握 与 设 
备 和 网 络 有 关 的 状况 。 



































185 


防线 


E Linu 安全 运 维 理念 和 实战 


1. 设 定 syslog 配置 文件 


syslog 设 备 依 据 两 个 重要 的 文件 : /etc/syslogd 守 护 进程 和 /etc/syslog.conf 配 置 文 件 。 通 常情 
况 下 ， 多 数 syslog 信 息 裤 写 到 /var/adm 或 /var/log 目 录 下 的 信息 文件 (messages.*) 中 。 一 个 典型 
的 syslog 记 录 包 括 生 成 程序 的 名 凶 和 一 个 文本 信息 ， 它 还 包括 一 个 设备 和 一 个 优先 级 范围 。 

通过 使 用 syslog.conf 文 件 ， 可 以 对 生成 的 日 六 的 位 置 及 其 相关 信息 进行 灵活 的 配置 ， 满 足 
应 用 的 需要 。 该 配置 文件 指明 了 syslogd 守 护 程 序 记录 日 志 的 行为 ， 该 程序 在 启动 时 查询 配置 文 
件 。 该 文件 由 不 同 程 序 或 消 胀 分 类 的 单个 条 目 组 成 ， 每 个 占 一 行 。 对 每 类 消 居 提供 一 个 选择 域 
和 一 个 动作 域 。 这 些 域 由 tab 隔 开 。 

sa 选择 域 指明 消息 的 类 型 和 优先 级 。 

a ”动作 域 指 明 syslogd 接收 到 一 个 与 选择 标准 相 匹 配 的 消 县 时 所 执行 的 动作 。 

syslog.conf 行 的 基本 语法 是 : 

消息 类 型 .优先 级 动作 域 

其 中 ， 每 个 选择 域 是 由 消 恩 类 型 和 优先 级 组 成 。 当 指明 一 个 优先 级 时 ，syslogd 将 记录 一 个 拥有 

相同 或 更 高 优先 级 的 消 因 ,Linux 中 一 些 主 要 的 消 轧 类 型 如 表 5-7 所 示 , K 5-8 列 出 了 一 些 优先 级 信息 。 
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kern 内 核 
User 用 户 程序 
Damon 系统 守护 进程 
Mail 电子 邮件 系统 
Auth 与 安全 权限 相关 的 命令 
Lpr 打印 机 
News 狐 闻 组 信息 
Uucp Uucp 程序 
Cron 记录 当前 登录 的 每 个 用 户 信息 
wtmp 一 个 用 户 每 次 登录 进入 和 退出 时 间 的 永久 记录 
Authpriv 授权 信息 

表 5-8 syslog 常用 优先 级 

优先 级 fH 述 

emerg 最 高 的 紧急 程度 状态 
alert 紧急 状态 
Cirt 重要 信息 
warning 警告 
err 临界 状态 
notice 出 现 不 寻常 的 事情 
info 一 般 性 消 县 
Debug 调试 级 信息 
None 不 记录 任何 日 志 信 息 


表 5-7 syslog 消息 类 型 
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不 同 的 服务 类 型 有 不 同 的 优先 级 ， 数 值 较 大 的 优先 级 涵盖 数 值 较 小 的 优先 级 。 如 果 菏 个 选 
择 条 件 只 给 出 了 一 个 优先 级 而 没有 使 用 任何 优先 级 限定 符 ， 对 应 于 这 个 优先 级 的 消息 以 及 所 有 
更 紧急 的 消 轧 类 型 都 将 包括 在 内 。 比 如 说 ， 如 果菜 个 选择 条 件 里 的 优先 级 是 “warning”， 它 实 
际 上 将 把 “warning”、 “err” ~ “crit” ~ “alert” 和 “emerg ”都 包括 在 内 。 
syslog 人 允许 人 们 使 用 三 种 限定 符 对 优先 级 进行 修饰 RR C0 、 等 号 C) RUD (OD. 
nm E E) 的 含义 是 把 本 项 服务 生成 的 所 有 日 记 消 县 都 发 送 到 操作 动作 指定 的 地 点 。 吏 像 
它 在 规则 表达 式 里 的 作用 一 样 ， 星 写 代表 “任何 东西 ”。 在 前 面 给 出 的 例子 里 ，“mail.*” 
将 把 所 有 优先 级 的 消 明 都 发 送 到 操作 动作 指定 的 /var/log/mail 文件 里 。 使 用 “*” 限 定 符 
与 使 用 “debug ”优先 级 的 效 末 完全 一 样 ,后 者 也 将 把 所 有 类型 的 消息 发 送 到 指定 的 地 点 。 
sa Fy (=) 的 含义 是 只 把 本 项 服务 生成 的 本 优先 级 的 日 志 消 恩 都 发 送 到 操作 动作 指定 的 












































地 点 。 比 如 说 ， 可 以 用 “=” 限 定 符 只 发 送 调试 消息 而 不 发 送 其 他 更 紧急 的 消息 〈 这 将 
为 应 用 程序 减轻 很 多 负担 ) 。 当 你 只 需要 发 送 特定 优先 级 别 的 消息 时 ， 台 要 使 用 等 号 
限定 符 。 





an Na OD 的 含义 是 把 本 项 服务 生成 的 所 有 日 六 消息 都 发 送 到 操作 动作 指定 的 地 点 ， 但 
本 优先 级 的 消 居 不 包括 在 内 。 
所 以 ， 根 据 上 和 面 介绍 的 相关 知识 ， 我 们 给 出 以 下 例子 作为 示范 。 
CDD 如 果 指 明 \crit'， 那 所 有 标 为 crit、alert 和 emerg 的 消息 将 被 记录 。 每 行 的 行动 域 指明 
当选 择 域 选择 了 一 个 给 定 消 县 后 应 该 把 其 发 送 到 哪儿 。 人 例如， 如果 想 把 所 有 邮件 消息 记录 到 一 
个 文件 中 ， 如 下 所 示 : 


tLog all the mail messages in one place 











Th ders "vem oc mers dod 
(2) HM db EHE. UUCPZInewsiz4&BEP" "EVER PAM A. "CHEST BE 
到 目 己 的 日 志 Cvar/log/spooler? 中 并 把 级 别 限 为 err" 或 更 高 。 例 如 : 


和 




















Woo Wc es /var/log/spooler 
(3) 当 一 个 紧急 消息 到 来 时 ， 可 能 想 让 所 有 的 用 户 都 得 到 。 也 可 能 想 让 目 己 的 日 志 接 收 
并 保存 。 


fEverybody gets emergency messages, plus log them on anther machine 
a oL s 
人 
(4) 有 时 syslogd 将 产生 大 量 的 消息 。 例 如 内 核 ("kern\" 设 备 ) 可 能 很 见长 ， 用 户 很 难看 
得 清楚 明了 ， 那 么 用 户 可 能 想 把 内 核 消 恩 记录 到 /dev/console 中 。 下 和 耐 的 例子 表明 内 核 日 忘记 录 
WETE T: 
fLog all kernel messages to the console 
Proga ng mUcCA else el mien sho sm ecm 
kern. * /dev/console 
(5) HPH UE 4 FHRA. PB BIPI-T dU info Ek E res ZR 00] A 8$ As 325 381 
/Var/log/messages，| 除 了 maill 以 外 。 级 别 \"none\" 禁 止 一 个 设备 : 


二 
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了 


*.info:mail.none;autHPriv.none /var/log/messages 


2. 使 用 syslog 进程 


syslogd 守 护 程 序 是 由 /etc/rec.d/init.d/syslog 肢 本 在 运行 级 2 下 被 调用 的 ， 默 认 不 使 用 选项 。 
但 有 两 个 选项 -r 和 -ph 很 有 用 。 
mn ”如 果 将 要 使 用 一 个 日 志 服 务 器 ,必须 调用 syslogd -r。 上 默认 情况 下 syslogd 不 接受 来 自 远 
程 系统 的 信息 。 当 指定 -r 选 项 ，syslogd 将 会 监听 从 514 端口 上 进来 的 UDP 包 。 
a 如 采 还 布 望 日 志 服 务 吉 能 传送 日 六 信 息 ， 可 以 使 用 -h disse SUA, syslogd 将 忽略 使 
其 从 一 个 远程 系统 传送 日 志 信 息 a 到 为 一 个 系统 的 syslogd。 
另外， 如 果 需 要 重新 启动 syslog 守 护 进 程 〈/etc/syslog.conf 的 修改 只 有 在 syslog 守 护 进程 重 
新 启动 后 才 会 生效 ) ， 并 且 只 想 重 新 启动 syslog 守 护 进 程 而 不 是 整个 系统 ， 在 Red Hat Linux 机 
从 上 ， 执 行 以 下 两 条 命令 之 一 即 可 : 
人 









































人 
3. 实际 应 用 中 的 syslog 调用 接口 


在 实际 的 使 用 过 程 中 ， 我 们 可 以 根据 5.6.3 市 中 的 介绍 通过 配置 文件 和 但 看 相应 的 日 志文 
件 来 使 用 syslog。 然 而 ， 在 许多 应 用 场景 下 ， 我 们 往往 需要 通过 程序 产生 输出 信息 并 进行 记录 ， 
也 就 是 说 要 把 一 些 信息 写成 日 志文 件 ， 正 常情 况 下 运行 程序 的 人 不 用 关心 日 志 里 的 内 容 ， 只 有 
在 出 现 问题 的 时 候 才 会 但 看 日 志文 件 里 的 内 容 以 确定 问题 所 在 。 因 此 ， 本 闻 将 介绍 如 何 通 过 
syslog 日 志 系 统 提供 的 API 调 用 接口 ， 来 使 用 程序 实现 对 syslog 的 使 用 。 

1) 主要 的 函数 

在 Linux 中 ， 提 供 了 四 个 有 关 syslog 日 志 系 统 的 系统 调用 ， 供 用 户 使 用 。 

a ”openlog: 打开 日 志 设 备 ， 以 供 读 取 和 写 入 ， 与 文件 系统 调用 的 open 类 似 。 

a  Syslog: 写 入 日 志 ， 与 文件 系统 调用 的 write 类 似 。 

a  closelog: 关闭 日 忘 设备 ， 与 文件 系统 调用 的 close 类 似 。 

mn ”Vsyslog: 它 和 syslog 功能 一 样 ， 人 负责 写 入 日 志 ， 只 是 参数 格式 不 同 。 

(1) openlogrÉ 2A. 
openlog 函 数 的 声明 如 下 : 
void openloon eono ea 

JG ES CHO TATE — 1 8] 28 246 H WR ETER, TTJT ZZ Ji so MA H syslogtkvsyslog rK Z& 
[1] 2 Z6 Eds HAS JR A I s mfücloselogPE Zh). HRR AER. 

openlog 的 第 一 个 参数 ident 是 一 个 标记 , ident 所 表示 的 字符 串 将 固定 地 加 在 每 行 日 志 的 前 面 
以 标识 这 个 日 六 ， 通 种 就 写成 当前 程序 的 名 称 以 作 标记 。 

第 二 个 参数 option 一 役 是 下 列 选 项 值 取 “ 与 ”运算 〈 使 用 “|” 表 示 ， 如 “LOG CONS | 
LOG PID” ) 的 结 

= LOG CONS: 如 果 送 到 system logger FRÆ ju] ji, — ECBZ 53 A ZR Zi ZEN e 

= LOG NDELAY: 立即 开启 连接 ， 通 常 连接 是 在 第 一 次 写 入 消 奶 时 才 打 开 的 。 

= LOG PERROR: 将 消息 也 同时 送 到 stderr 设备 。 



























































高 屋 建 领 :“ 四 步 ” 完 成 企业 Linux 系统 安全 防护 





» LOG PID: 将 进程 PID SARMA B AH. 

第 三 个 参数 facility 指 明 记 录 日 志 的 程序 类 型 ， 它 主要 具有 以 下 几 类 日 志 类 型 。 
= LOG AUTH : 安全 /授权 消息 。 

= LOG AUTHPRIV: 安全 /授权 消息 。 

= LOG CRON: 时 间 守 护 进 程 (cron 和 a). 专用 。 
= LOG DAEMON: 其 他 系统 守护 进程 。 

= LOG KERN: 核 心 消息 。 

= LOG LOCALO 到 LOG LOCAL7: 系统 保留 

= LOG LPR: printer 子 系统 。 

= LOG MAIL: mail 子 系统 。 

= LOG NEWS: USENET 新 闻 子 系统 。 

= LOG SYSLOG: syslogd 进程 内 部 所 产生 的 消息 。 
a LOG USER RW) : 一 般 使 用 者 默认 使 用 消息 。 
= LOG UUCP: UUCP 子 系统 。 

= LOG FTP: FTP 子 系统 使 用 。 

(2) syslog. 














syslog Zi RU j5 BH AU P: 
NOS ec eMe nap MT eT OMS qu NO OS EESTI OSEE ENTIS SII IEEE 
第 一 个 参数 是 消息 的 紧急 级 别 priority， 第 二 个 参数 是 消息 及 其 格式 ， 之 后 是 格式 对 应 的 参 








数 ， 如 同 C 语 言 里 面 printf 和 输出 函数 一 样 使 用 ， 有 具体 的 格式 这 里 束 不 再 详 述 ， 它 不 是 本 书 介绍 的 
重点 。 

这 里 还 需要 详细 介绍 一 下 第 一 个 参数 priority， 它 是 由 severity level 和 facility 组 成 的 。facility 
己 经 在 上 面 介 绍 了 了 人， 下面 介 绍 一 下 severity level， 也 就 是 消息 的 重要 级 别 ， 它 主要 包括 : 

= LOG EMERG: 紧急 状况 ; 

= LOG ALERT: 局 优先 级 问题 ， 比 如 说 数据 库 崩 演 等 ， 必 须要 立即 采取 反应 行动 ; 

» LOG CRIT: 重要 状况 发 生 ， 比 如 硬件 故障 ; 

= LOG ERR: 错误 发 生 ; 

= LOG WARNING: 警告 发 生 ; 

= LOG NOTICE: 一 般 状 况 ， 需 要 引起 注意 ; 

a LOG INFO: 信息 状况 ; 

LOG DEBUG: 调试 消息 。 

在 实际 使 用 中 如 果 我 们 的 程序 要 使 用 系统 日 志 功 能 ， 只 和 需要 在 程序 启动 时 使 用 openlog 
函数 来 连接 syslogd 程 序 ， 后 面 随时 用 syslog 函 数 写 日 志 束 行 了 。 

(3) closelogrÉ Zi. 

相对 上 述 两 个 函数 来 说 ， 该 函数 非常 简单 ， 其 声明 如 下 : 
NM on decks eed vord ys 

值得 注意 的 是 , 虽然 该 函数 的 使 用 和 调用 情况 非常 简单 , 但 却 是 必 不 可 少 的 ， 因 为 在 Linux 
系统 中 ， 打 开 的 日 志 也 是 资源 ， 如 果 只 使 用 openlog 函 数 打开 日志 ， 而 筷 记 使 用 closelog 关 闭 日 
志 的 话 ， 当 打开 的 日 志 数 量 累 积 到 一 定 程 上 度 ， 便 会 造成 内 存 不 足 ， 从 而 引起 系统 问题 。 所 以 ， 
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提醒 用 户 在 使 用 中 特别 注意 。 
2) 一 个 实际 的 程序 调用 例子 
下 和 面 给 出 一 个 使 用 上 述 几 个 函数 写 日 忘 的 例子 ， 以 供 大 家 参考 : 


#include <syslog.h> 














incGlude S Seo ELO n> 


4 Me Mel al 
int main (void) 


{ 
Dp le DE 


ey 
站 


2 
EO ne oT el Ce er el 


en esee EO CIDEEUG em cage; 


/ * AMI EG */ 


eloselog() s 


应 用 LIDS 进行 Linux 系统 入 侵 检 测 


5.7.1 LIDS 简介 





LIDS 是 Linux 下 的 入 侵 检 测 和 防护 系统 ， 是 Linux 内 核 的 补丁 和 安全 管理 工具 ， 它 增强 了 内 
核 的 安全 性 ， 它 在 内 核 中 实现 了 参考 监听 模式 以 及 强制 访问 控制 (Mandatory Access Control) 
模式 。 区 别 于 本 书 将 在 后 面部 分 介绍 的 Snort 入 侵 检 测 系 统 ， 它 属于 网 络 IDS 范 畴 ， 而 LIDS 则 属 
于 主机 IDS 范 畴 。 

一 般 来 说 ，LIDS 的 主要 功能 包括 以 下 几 方 面 。 

s。 ”重要 系统 资源 保护 : 保护 价 盘 上 任何 类 型 的 重要 文件 和 目录 ， 如 /bin、/sbin、/usr/bin、 

/usr/sbin, /etc/re.d 等 目录 和 其 下 的 文件 ， 以 及 系统 中 的 敏感 文件 ， 如 passwd 和 shadow 
文件 ， 防 止 未 被 授权 者 (包括 root 用 户 ， 和 未 被 授权 的 程序 进入 。 保 护 重要 进程 不 被 
终止 ， 任 何人 包括 root 也 不 能 杀 死 进程 ， 而 且 可 以 隐藏 特定 的 进程 。 防 止 非法 程序 的 
IO 操作 ， 保 护 硬 盘 ， 包 括 MBR 保护 等 。 
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s。 — ABE: LIDS 可 以 监测 到 系统 上 任何 违反 规则 的 进程 。 

= AREA: 来 目 内 核 的 安全 警告， 当 有 人 违反 规则 时 ，LIDS 会 在 控制 人 台 显 示 和 警告 信 息 ， 
将 非法 的 活动 细节 记录 到 受 LIDS 你 护 的 系统 log 文件 中 。LIDS 还 可 以 将 log 信息 发 到 
用 户 的 信箱 中 。 并 且 ，LIDS 还 可 以 马上 关闭 与 用 户 的 会 话 。 


5.7.2 ”安装 LIDS 

















1. 打 补 丁 并 配置 Linux 内 核 选 项 安装 


LIDS 通 党 需要 下 载 其 最 狐 版 本 的 LIDS 内 核 补丁 包 ， 然 后 进行 安装 。 下 载 的 网 站 为 : 
http:/www.lids.org/， 目 前 网 站 上 的 最 新 版 本 为 : lids-2.2.3rc7-2.6.28.patch。 首 先 将 下 载 的 LIDS 
内 核 补 本 包 保 存 到 /usrsrc 目 录 下 ， 然 后 以 根 用 户 的 权限 进入 命令 行 模式 按 以 下 步骤 进行 操作 。 

CIO 假设 系统 内 核 文件 在 msrsrcLinux 目 录 下 ， 通 过 下 列 命令 安 儿 LIDS 内 核 补 丁 包 : 


IE 











让 下放 和 本 让 中 证 
(20 编辑 内 核 ， 选 取 相 关 选 项 : 
// 进 入 编辑 内 核 界 面 
# make menuconfig 
进入 内 核 编译 菜单 界面 后 ,建议 把 有 关 LIDS 的 所 有 项 都 选中 。 这 样 做 的 目的 会 让 不 太 熟 悉 
内 核 编 详 的 用 户 省 去 很 多 不 必要 的 太 烦 , 并 且 将 所 有 的 LIDS 项 都 选择 上 也 不 会 后 用 多 少 内 核 空 
间 ， 对 加 入 LIDS 后 的 和 内核 性 能 也 不 会 产生 多 大 影响 。 下 面 对 一 些 选项 进行 解释 : 


Prompt for development and/or incomplete code/drivers 











SysctLlL Support 

Pinas Inr ruS on Dere ction yoten SUPPO: 

[ ] Hang up console when raising a security alert 

当 收 到 一 个 安全 警告 挂 起 控制 台 

SIS ee Pl ecc C go ob el Sh sc c pce 
当 执 行 没有 受 LIDS 保护 的 程序 时 发 送 安全 警告 

I execute unprotected programs betore iS 


在 安装 LIDS 前 不 执行 没有 受 保 护 的 程序 
| |] Tey not to 上 OOd Logs 


尽量 不 要 让 日 志 洲 出 


ALTON Sw ite bias EDO pro eco 


允许 转换 LIDS 保护 


Bw OTIO GTC Sus oS wh ND Gi CO CES 


允许 远程 用 户 来 转换 LIDS 保护 


[Om I 60 OE HT | te De le te TET TIS 


允许 任何 程序 来 转换 LIDS 保护 


[OO weed o reb ge re c Ese 


允许 重新 引导 配置 文件 


| ] Port Scanner Detector in kernel 
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内 核 的 端口 扫描 硕 

I xSconedisceumm cuc Sb ce Wem. 
X 3E Rd 28 XS LC EEG 

| ] Hide klids kernel thread 





隐藏 内 核 进程 
|] ee nC mailer pocudo eT 
使 用 通用 的 邮件 发 送 脚本 
(3) 在 选择 好 要 加 入 到 内 核 中 的 LIDS 项 后 ， 残 可 以 通过 下 列 命令 重新 编译 内 核 : 
# make dep 





# make clean 

# make bzImage 
# make modules 
# 


Tm le rl. er a 





完成 上 述 内 核 编译 工作 后 ， 一 个 加 入 了 LIDS 的 内 核 就 重新 编译 好 了 。 要 使 加 入 了 LIDS 的 
新 内 核 工 作 ， 必 须 重新 启动 系统 。 
2. 源 代码 安装 LIDS IRE 
首先 从 上 述 网 站 上 下 载 LIDS 工 具 包 的 安 钱 文件 ， 目 末 网 站 上 的 最 新 版 本 为 : 
lids-2.3.rc7-2.6.28.patch， 然 后 按 以 下 步骤 安装 它 。 
CIO 解压 缩 源 但 包 : 
人 


(2) 切换 目录 并 生成 makefile 文 件 : 


站 二 全 国有 村 





T OT 
(3) ZU 
# make 
make boe 
这 样 束 会 将 Lidsadm 和 Lidsconf 这 两 个 工具 安装 到 /sbin/ 目 录 中 ， 同 时 会 创建 一 个 /etc/lids 的 
目录 ， 并 会 在 此 目录 下 生成 一 个 默认 的 配置 文件 。 


5.7.3 配置 和 使 用 LIDS 

















1. 基本 配置 
必须 配置 LIDS 系 统 ， 使 其 符合 用 户 的 安全 需要 。 用 户 可 以 定义 受 保护 的 文件 、 受 你 护 的 进 
程 等 。 


首先 ， 更 新 默认 lids.conf 的 inode/dev 值 。 
4) /sbin/lidsadm -U 
然后 ， 获 得 一 个 RipeMD-160 加 密 口 令 : 
让 
默认 情况 下 ，Lidsadm 将 把 默认 配置 文件 安装 到 /etwlids/。 用 户 必须 根据 自己 的 需要 重新 配 
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s MAEI, MaN AER LIBE AARU 8 44, LIDS ZR A. rs ERE E AH OK 
中 的 以 下 几 个 相关 的 配置 文件 。 
a  lidsconf: 这 个 文件 用 来 存储 LIDS ACLs 信息 。 它 包括 定义 对 象 访问 类 型 的 ACLs 访 
问 控制 列表 〉。 
» ”lids.cap: 这 个 文件 包括 系统 的 所 有 性 能 ， 可 以 编辑 这 个 文件 来 配置 这 些 性 能 。 
» ”lids.net: 这 个 文件 用 来 配置 发 给 管理 员 信 箱 的 警告 信息 。 用 户 可 以 定义 SMTP 服务 器 、 
疹 口 、 消 息 头 等 。 仅 在 配置 内 核 时 ， 选 择 了 Send security alerts through network 内 核 配 
置 选项 才 有 该 文件 。 
» — lids.pw: 这 个 文件 存储 由 “lidsadm -P ”命令 生成 的 密码 文件 。 配 置 内 核 时 需要 选择 Allow 
switching LIDS protections WEI, WAMA IZLI. 























2. Lidsadm 工具 


Lidsadm 是 LIDS 的 管理 工具 单元 ， 可 以 用 它 来 管理 系统 中 的 LIDS。Lidsadm 的 主要 作用 驳 
是 启用 或 停 用 LIDS， 以 及 封存 LIDS 到 内 核 中 和 查看 LIDS 状 态 。 

使 用 下 列 命令 可 以 列 出 Lidsadm 的 所 有 可 用 选项 : 
二 

其 第 用 命令 参数 的 共 体 含义 如 下 。 

mn o-s: 开关 某 些 保护 选项 时 指示 应 提交 密码 。 

a -i 开关 某 些 保护 选项 时 不 提交 密码 。 

= LIDS FLAG: 为 Lidsadm 的 标志 值 。 

mn  -V: 显示 版 本 。 

a -V: 查看 现在 LIDS 状态 。 

a -h: 列 出 所 有 选项 。 

Lidsadm 还 包括 了 许多 第 用 的 部 分 主要 功能 模块 , 它们 的 列表 和 主要 功能 说 明 如 表 5-9 所 示 。 

表 5-9 Lidsadm 主要 功能 模块 说 明 
































功能 模块 说 明 
CAP  CHOWN 修改 目录 或 文件 的 属 主 和 组 
CAP NET BROADCAST 监听 广播 
CAP NET ADMIN 接口 、 防 火 墙 、 路 由 器 改变 
CAP IPC LOCK 锁定 共享 内 存 
CAP SYS MODULE 插入 和 移 除 内 核 模块 
CAP HIDDEN BEREE 
CAP SYS RESOURCE 设置 资源 限制 
CAP KILL PROTECTED 杀 死 保护 进程 
CAP PROTECTED 保护 进程 为 单 用 户 方式 





Lidsadm 有 以 下 儿 个 可 用 的 标志 从 〈 (Available flags) 。 
= LIDS: 禁止 或 激活 本 地 LIDS. 


193 


防线 


E Linu 安全 运 维 理念 和 实战 


=  LIDS CLOBAL: 完全 禁止 或 激活 LIDS. 
= RELOAD CONF: 重新 加 载 配 置 文件 。 


3. Lidsconf 工具 
Lidsconf 主 要 用 来 为 LIDS 配 置 访 问 控制 列表 (ACLs) 和 设置 密码 。 输 入 以 下 命令 能 显示 








Lidsconf 所 有 的 可 用 选项 。 


T 


非 第 


# lidsconf -h 
此 命令 执行 后 会 返回 以 下 命令 参数 。 
a -A: 增加 一 条 指定 的 选项 到 已 有 的 ACL 中 。 
a — -D: 删除 一 条 指定 的 选项 。 
mn — -E: 删除 所 有 选项 。 
a  -U: 更 新 dev/inode 序号 。 
a -L: 列 出 所 有 选项 。 
a — -P: 产生 用 Ripemd-160 JI 25 MI. 
= Vi 显示 版 本 。 
a -h 显示 帮助 。 
" -H: 显示 更 多 的 帮助 。 
a  -s[-subject]: 指定 一 个 子 对 象 ， 可 以 为 任何 程序 ， 但 必须 是 文件 。 
a ”-o[object]: 可 以 是 文件 、 目 录 或 功能 Ccapabilities) 和 socket 名 称 。 
a -j 它 有 以 下 儿 个 参数 。 
e DENY: 禁止 访问 。 
4 READONLY: 只 读 。 
e APPEND: 增加 。 
€ WRITE: 可 写 。 
€ GRANT: 对 子 对 象 授 于 能 
+ 
* 
其 




















ignore: 对 设置 的 对 象 忽略 所 有 权限 。 
disable: 禁止 一 些 扩展 特性 。 
[他 选项 。 
+ -d: 目标 的 可 执行 domain. 
e - 继承 级 别 。 
4 -t: 指定 从 某 一 时 段 到 另 一 时 段 可 以 进行 怎样 的 操作 。 
* -e: d 展 列表 。 
4. 主要 使 用 方法 
首先 ， 用 户 需 要 根据 具体 的 情况 来 确定 要 保护 哪些 文件 。 一 般 情 况 下 ， 为 了 保证 Linux 系 统 安 
至 少 需 要 保护 系统 二 进 制 文件 和 系统 配置 文件 ， 比 如 ，/bin、/sbin/、/usr/、/etc/、/Var/log/ 等 。 
其 次 ， 需 要 确定 以 什么 方式 来 保护 文件 。LIDS 提 供 了 以 下 三 种 保护 类 型 。 
(1) 拒绝 任何 人 访问 : 市 有 DENY 标 志 的 文件 和 目录 没有 人 能 够 看 见 ， 也 不 能 修改 。 那 些 
敏感 的 文件 应 该 加 上 DENY 标 志 。 其 用 法 如 下 : 























ee 
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例如 ， 可 以 使 用 如 下 命令 来 拒绝 用 户 〈 包 括 root 用 户 ) 对 /etc/passwd 文 件 的 访问 : 


le 


在 重 局 或 重新 加 载 配置 文件 后 , 用 户 将 会 看 到 相应 的 操作 遭 到 LIDS 的 拒绝 ， 从 而 保护 该 文件 : 


# ls /etc/passwd 








ls: /etc/passwd: No such file or directory 
(2) 配置 只 读 文 件 : 任何 用 户 不 能 改变 市 有 只 读 标 记 的 文件 。 比 如 /etc/passwd、/bin/passwd 
文件 一 般 属 于 此 类 。 
其 用 法 如 下 : 
ee 
例如 ， 我 们 可 以 保护 整个 bin/ 目 录 ， 使 之 只 读 ， 如 下 所 示 : 
让 
也 可 以 保护 /etcpasswd 文 件 为 只 谈 ， 如 下 所 示 : 
4$ /sbin/lidsconf -A -o /etc/passwd -j READONLY 
(3) 只 能 退 加 的 文件 : 一 般 来 说 ， 系 统 日 志文 件 应 定义 成 此 类 。 比 如 /var/log/message、 
/Var/log/secure。 这 些 文件 只 能 以 追加 的 模式 打开 ， 用 户 不 能 修改 前 面 的 部 分 。 
其 用 法 如 下 : 
inocconmpa c OT om NE TDD 
例如 ， 我 们 可 以 保护 系统 日 志文 件 ， 如 下 所 示 : 


4 /sbin/lidsconf A -o /var/log/message -j APPEND 











让 
我 们 也 可 以 针对 具体 的 网 络 服务 问 日 总 进行 保护 : 

/ /保护 httpd 日 志文 件 

TS a doc A 

/ /保护 vsftpd 日 志文 件 

Pl ep el 
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本 章 导 读 


Şe 


企业 Linux 操作 系统 的 安全 及 其 灵活 应 
用 是 保障 系统 安全 的 重要 手段 。 上 一 章 介 络 
了 传统 的 针对 目录 /文件 的 访问 控制 方式 ， 本 
革 将 介绍 更 为 灵活 的 通过 访问 控制 列表 
(ACL) 以 及 SELinux 的 企业 Linux Z4 7 E 
机 制 。 


第 6 章 
锦上添花 ， 企 业 Linux 操作 系统 ACL IER EARNED NIE 


EYES 安全 加 固 必要 性 分 析 








企业 级 Linux 的 访问 控制 在 实际 应 用 过 程 中 存在 一 些 问题 。 例 如 ， 传 统 的 以 文件 和 目录 为 导向 
的 访问 控制 使 用 不 是 非常 灵活 ， 难 以 指定 一 个 目录 及 其 文件 满足 一 个 或 者 多 个 指定 组 的 访问 控制 
需求 。 另 外 ， 传 统 的 自主 访问 控制 策略 也 难以 满足 当前 复杂 环境 下 系统 安全 的 防护 需求 。 为 了 解 
决 这 些 问 题 ， 我 们 提出 采用 以 下 两 种 方法 来 进行 。 
a ”结合 采用 ACL 来 灵活 地 扩展 传统 的 目录 /文件 访问 控制 方式 ， 以 满足 企业 多 方面 的 需求 。 
a ”使 用 SELinux 强制 访问 控制 机 制 来 蔡 代 现 有 的 目 主 访问 控制 方式 ， 细 粒度 地 实现 系统 
安全 加 固 。 








EPJ 加 固 第 一 步 : 使 用 ACL 进行 灵活 访问 控制 


文件 /目录 访问 控制 是 Linux 操 作 系统 安全 的 重要 组 成 部 分 。 传 统 的 Linux 操 作 系统 文 持 用 户 一 
用 户 组 一 其 他 用 户 的 访问 控制 机 制 , 来 限定 系统 用 户 对 文件 /目录 的 访问 权限 , 该 机 制 已 经 广泛 为 
用 户 所 接受 和 应 用 。 而 在 实际 的 使 用 过 程 中 ， 用 户 会 意识 到 在 很 多 应 用 场景 该 机 制 并 不 能 灵活、 
局 效 地 满足 访问 控制 需求 , 因而 目 Linux 内 核 2.6 厂 本 开始 便 文 持 更 为 灵活 的 ACL( 访 问 控制 列表 ) 
机 制 。 本 区 将 通过 实例 来 详细 介绍 这 种 机 制 的 原理 及 使 用 。 


6.2.1 ”传统 的 用 户 - 用 户 组 -其 他 用 户 ( U-G-O ) 访问 控制 机 制 回顾 




















1. U-G-O 模式 原理 


在 第 5 章 中 ， 我 们 对 Linux 系 统 的 文件 系统 访问 控制 作 了 详细 的 介绍 。Linux 系 统 中 的 每 个 文 
件 和 目录 都 有 访问 许可 权限 ， 通 过 其 确定 谁 可 以 通过 何 种 方式 对 文件 和 目录 进行 访问 和 操作 。 文 
件 或 目录 的 访问 权限 分 为 只 读 、 只 写 和 可 执行 三 种 。 以 文件 为 例 , 只 读 权 限 表 示 只 允许 读 取 内 容 ， 
而 至 止 对 其 做 任何 的 更 改 操作 ;只 写 权 限 允 许 对 文件 进行 任何 的 修改 操作 ， 可 执行 权限 表示 人 允许 
将 该 文件 作为 一 个 程序 执行 。 文 件 被 创建 时 ， 文 件 所 有 者 目 动 拥有 对 该 文件 的 恋 、 写 和 可 执行 权 
限 ， 以 便于 对 文件 的 阅读 和 修改 。 用 户 也 可 根据 需要 把 访问 权限 设置 为 需要 的 任何 组 合 。 

有 三 种 不 同类 型 的 用 户 可 对 文件 或 目录 进行 访问 : 文件 毛 有 者 、 同 组 用 户 和 其 他 用 户 。 所 有 
者 一 般 是 文件 的 创建 者 ， 它 可 以 允许 同 组 用 户 有 权 芒 问 文件 ， 还 可 以 将 文件 的 访问 权限 赋予 系 统 
中 的 其 他 用 户 。 在 这 种 情况 下 ， 系 统 中 的 每 一 位 用 户 都 能 访问 该 用 户 拥有 的 文件 或 目录 。 

每 一 个 文件 或 目录 的 访问 权限 都 有 三 组 ,每 组 用 三 位 表示 ,分 别 为 文件 属 主 的 恋 、 写 和 执行 
BUR; 与 属 主 同 组 的 用 户 的 读 、 写 和 执行 权限 ; 系统 中 其 他 用 户 的 谈 、 写 和 执行 权限 。 当 用 1s-l 
命令 显示 文件 或 目录 的 详细 信息 时 ， 最 左边 的 一 列 为 文件 的 访问 权限 。 例 如 : 


maig =l 
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横 线 代 表 空 许可 〈 即 表示 不 具有 该 权限 )。r 代 表 只 读 ，w 代 表 写 ，x 代 表 可 执行 。 注 意 ， 这 
里 共有 10 个 位 置 ， 第 1 个 字符 指定 了 文件 类 型 。 在 通常 意义 上 ， 一 个 目录 也 是 一 个 文件 。 如 果 
第 1 个 字符 是 横 线 ， 表 示 是 一 个 非 目 录 的 文件 。 如 果 是 d， 表 示 是 一 个 目录 。 后 面 的 9 个 字符 每 
三 个 构成 一 组 ， 依 次 表示 文件 主 、 组 用 户 、 其 他 用 户 对 该 文件 的 访问 权限 。 

例如 : 

三 到 亲王 下 三 一 七 三 一 sd eoe cubdbe dee) 

表示 文件 install.log 的 访问 权限 ， 说 明 install.log 是 一 个 普通 文件 ， installlog 的 属 主 有 读 写 权 
IR; 与 install.log 属 主 同 组 的 用 户 只 有 读 权 限 ; 其 他 用 户 也 只 有 读 权 限 。 

确定 了 一 个 文件 的 访问 权限 后 , 用户 可 以 利用 Linux 系 统 提供 的 chmod 命 令 来 重新 设 定 不 同 的 
访问 权限 ， 也 可 以 利用 chown 命 令 来 更 改 某 个 文件 或 目录 的 所 有 者 。 

2. 字母 文件 权限 设 定 法 

字母 设 定 法 的 一 般 使 用 形式 为 : chmod [who] [+] - |=] [mode] 文件 名 。 

其 中 ， 操 作对 象 who 可 以 是 下 述 字 母 中 的 任意 一 个 或 者 为 各 字母 的 组 合 。 

a uX; “W Cuser) ”， 即 文件 或 目录 的 所 有 者 。 

a 5 表示 “ 同 组 (group) 用 户 ”， 即 与 文件 属 主 有 相同 组 ID 的 所 有 用 户 。 

» 0 表示 “其 他 〈others) HJ?" o 

a a 表示 “所 有 al) 用 户 ”。 其 为 系统 默认 值 。 

操作 符 写 如 下 。 

w + 添加 某 个 权限 。 

a ”一 取消 菏 个 权限 。 

a = 赋予 给 定 权 限 并 取消 其 他 所 有 权限 (如 果 有 的 话 〉。 

设置 mode 所 表示 的 权限 可 用 下 述 字母 的 任意 组 合 。 

2 [rn HE. 

mn w: 可 与 。 

a o x: 可 执行 。 只 有 目标 文件 对 茶 些 用 户 是 可 执行 的 或 该 目标 文件 是 目录 时 才 退 加 x 属性。 

a o S: 在 文件 执行 时 把 进程 的 属 主 或 组 ID 置 为 该 文件 的 文件 属 主 。 方 式 “u+s” 设 置 文件 

的 用 户 ID 位 ，“g+s” 设 置 组 ID 位 。 

a t: 将 程序 的 文本 保存 到 交换 设备 上 。 

a u 与 文件 属 主 拥有 一 样 的 权限 。 

a g: 与 文件 属 主 同 组 的 用 户 拥 有 一 样 的 权限 。 

a 0: 与 其 他 用 户 拥 有 一 样 的 权限 。 

3. 数字 文件 权限 设 定 法 

数学 设 定 法 是 与 文学 设 定 法 功能 等 价 的 设 定 方法 ， 只 不 过 比 文学 设 定 法 更 加 简便。 数学 表示 
的 属性 的 含义 为 : 0 表示 没有 权限 ，1 表示 可 执行 权限 ，2 表示 可 写 权 限 ，4 表示 可 读 权 限 ， 然 后 
将 其 相 加 。 所 以 数字 属性 的 格式 应 为 3 个 从 0~7 的 八进制 数 ， 其 顺序 是 QD 、 (g) 、 (0) 。 
其 他 的 与 文字 设 定 法 基本 一 致 。 

如 果 想 让 茶 个 文件 的 属 主 有 “ 旋 / 写 ”两 种 权限 ， 需 要 把 R) +2( 可 写 ) 26 GE/S). 

数字 设 定 法 的 一 般 形 式 为 : chmod [mode] 文件 名 。 
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下 面 给 出 一 些 使 用 该 数字 设 定 法 的 例子 。 
(1) 设 定 文 件 install.txt 的 属性 为 ， 文件 属 主 Cw) WAR WEARS 与 文件 属 主 同 组 人 用 户 
(g) 拥有 读 权 限 ; HEA (Co) WAERN. 
tchmod 644 install.txt 
(2) 设 定 example.c 文 件 的 属性 为 : 文件 主 本 人 QD 具有 可 谈 、 可 与 、 可 执行 权限 ; 与 文件 
主 同 组 人 (g) 具有 可 读 、 可 执行 权 ， 其 他 人 Coo. 没有 任何 权限 。 
#chmod 750 example.c 


6.2.2 ”扩展 的 访问 控制 列表 (ACL) 方式 























1. 为 什么 要 采用 ACL 

U-G-O 访 问 探 制 机 制 在 很 多 情况 下 难以 满足 实际 文件 /目录 访问 授权 的 需求 ,比如 ,要 设 定 一 
个 组 中 的 部 分 用 户 对 特定 的 文件 /目录 具有 谈 取 和 访问 权限 (rw-) ， 而 另外 一 部 分 用 户 只 能 具备 
该 权限 Cr--) ， 这 在 传统 的 Linux 访 问 控制 中 无 法 通过 单纯 地 建立 狐 的 组 和 用 户 来 实现 。 因 此 ， 
为 了 解决 这 些 问 题 ， 人 们 提出 了 一 种 狐 的 访问 控制 方法 ， 也 束 古 访问 控制 列表 (Access Control 
List, ACL) . 

ACL 是 一 个 POSIX( 可 移植 操作 系统 接口 ，Portable Operating System Interface) RYE. Hj. 
文 持 ACL 需 要 内 核 和 文件 系统 的 支持 。 现 在 2.6 内 核 配 合 EXT2/EXT3、JFS、XFS、ReiserFS 等 文 
件 系 统 都 是 可 以 文 持 ACL 的 。 在 目前 主流 的 发 行 僚 件 ， 如 Red Hat Enterprise Linux (RHEL) 5, 
RHEL 6, Fedora 16 等 都 已 经 文 持 ACL。 




















2. ACL 的 类 型 及 权限 位 


ACL (Access Control Lists) 是 由 一 系列 的 Access Entry 所 组 成 的 。 每 一 条 Access Entry X Y 
特定 的 类 别 可 以 对 文件 拥有 的 操作 权限 。Access Entry 主 要 包括 六 个 ， 可 分 为 两 大 类 : 一 类 包括 
owner. owning group 和 other， 对 应 传统 U-G-O 机 制 中 的 user、group 和 other; 为 一 类 则 包括 named 
user、named group 和 mask。Access Entry 的 主要 说 明 如 下 。 

a user: 相当 于 Linux 里 文件 所 有 者 的 permission. 

»  nameduser: 定义 了 额外 的 用 户 可 以 对 此 文件 拥有 的 permission. 

= group: 相当 于 Linux 里 group 的 permission. 

=  namedgroup: 定义 了 额外 的 组 可 以 对 此 文件 拥有 的 permission. 

= mask: 定义 了 named user. named group 和 group 的 最 大 权限 。 

m other: 相当 于 Linux 里 other 的 permission. 

下 面 举 个 简单 的 例子 。 对 于 如 下 的 ACL Entry 的 定义 : 


f file: example.xml 











# owner: liyang 

# group: operation 
USer: :rwx 
user:shengping:rw- 
ON DUDEN 


COMIS UG IS 
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MASK: UE 
(UE qM 
其 中 ， 前 面 三 行 以 # 开 头 的 定义 了 文件 名 、 文 件 的 所 有 者 和 所 有 者 所 在 的 组 。 后 面 紧 跟 看 的 
六 行 则 说 明了 如 下 的 问题 。 
» — user:rwx 膏 明 文件 所 有 者 拥有 读 写 和 执行 权限 。 
a ”user:shengping:rw- 定 义 了 用 户 shengping 拥有 对 文件 的 谍 写 权限 。 
mn ”group::rw- 说 明文 件 的 group 拥有 读 写 权限 。 
mn ”group:dev:r-Xx 定义 dev 组 拥有 对 文件 的 读 和 执行 权限 。 
= ”mask::rwx 定义 了 mask 的 权限 为 读 。 
sm ”Other::r-- 定义 了 other 用 户 的 权限 为 读 。 
值得 特别 注意 的 是 : mask 的 rwx 权 限定 义 ， 决 定 了 user:shengping、group 和 group:dev 对 文件 
的 最 大 权限 分 别 是 rw、rw 和 rx。 这 也 是 mask 这 个 ACL Entry 的 用 途 所 在 ， 可 以 用 它 来 批量 控制 
权限 。 当 然 ， 在 实际 的 使 用 过 程 中 ， 并 不 需要 用 户 对 该 Entry 和 直接 进行 操作 ， 而 只 需要 使 用 相应 
的 setfacl 命 令 即 可 ， 系 统 将 会 根据 该 命令 的 执行 来 目 动 生 成 上 述 Entry 项 ， 这 其 中 残 包 含 了 mask 
这 个 Entry 项 。 


3. ACL 的 基本 命令 


ACL 的 主要 命令 有 两 个 : getfacl 和 setfacl。getfacl 用 于 获取 文件 获 者 目录 的 ACL 权 限 信 息 ， 而 
setfac] 则 用 于 设置 文件 或 者 目录 的 ACL 权 限 信息 。 下 面 分 别 对 它们 的 使 用 进行 简单 介绍 。 
(1) getfacl: 获取 ACL 权 限 信息 。 
getfacl 命 令 用 于 获取 文件 的 ACL 权 限 信 息 ， 其 基本 用 法 为 : getfacl [文件 /目录 名 ]。 
下 面 举 个 例子 。 首 先 ， 使 用 touch 命 令 建 立 一 个 测试 文件 acl test: 
Se a ee 
然后 ， 使 用 ls 命令 来 但 看 该 文件 的 权限 访问 属性 ， 友 现 其 并 没有 加 入 ACL 权 限 ， 因 为 没有 出 
现 “4” 符号 ， 
SI ee 



























































这 全 下 | 人 全 下 

接 看 ， 使 用 getfacl 命 令 来 获取 文件 的 ACL 权 限 信息 ， 得 到 如 下 结 
ea 

m pc M cU 


owner: gavin 


Co dE dB X 


eT ND o Gavin 

user::rw- 

QUIS ON ENS 

(SE ele Ig 

值得 注意 的 是 ， 即 使 该 文件 系统 上 没有 开启 ACL 选 项 ，getfacl 命 令 仍然 可 用 ， 不 过 只 显示 黑 

认 的 文件 访问 权限 ， 即 与 1s -1 显示 的 内 容 相 似 。 

(2) setfacl: 设置 ACL 权 限 。 
为 了 设置 文件 的 ACL 权 限 ， 需 要 使 用 setfacl 命 令 来 详细 设置 文件 的 访问 权限 ， 其 基本 用 法 
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如 下 : 
setfacl - [参数 ] [文件 /目录 1] 
其 常用 的 参数 及 作用 如 下 。 
a  -m: 建立 一 个 ACL 规则 。 
» -x: 删除 一 个 ACL 规则 。 
sa -b: 删除 全 部 的 ACL 规则 。 
mn -set: f ui ACL 规则 。 
下 面 来 详细 介绍 如 何 使 用 setfacl 来 设置 文件 /目录 的 ACL 权 限 。 
(3) 添加 /修改 ACL 规 则 。 
需要 使 用 -m 选 项 来 进行 操作 。 
誉 个 例子 ， 使 用 该 命令 为 用 户 gavin 和 组 test 设 置 acl_test 文 件 的 读 写 权限 ， 并 使 用 getfacl 但 看 
BRA 











eM me MR le le 

le 

# file: acl test 

# owner: gavin 

TCU ai 

user::rw- 

User CM IW 

= 

GO USC cm 

cie re V 

Quy n 

在 上 徊 的 命令 示例 中 , 可 以 清楚 地 看 到 加 粗 部 分 user:gavin、group:test、mask 这 3 个 ACL Entry 

的 出 现 ， 表 明 对 文件 进行 了 ACL 权 限 设置 ， 否 则 ， 不 会 出 现 该 标识 。 为 了 进一步 验证 ， 我 们 使 用 
1s-] 来 答 看 该 文件 的 权限 位 中 是 否 多 了 “+ ”这 个 标识 位 ， 如 下 所 不: 


SUME Icd uc cs 





二 
其 中 ，user:gavin、group:test 为 我 们 设置 的 访问 权限 ， 而 mask::rw 为 日 动 洪 加 的 内 容 。 
(4) 删除 ACL 规 则 。 
使 用 -x 选项 可 以 方便 地 删除 指定 用 户 对 指定 文件 /目录 的 访问 权限 。 
以 下 示例 删除 用 户 gavin 对 文件 acl test 的 访问 权限 : 


SR 








cE ta oo 
Ea 


owner: gavin 


dc SE dE X0 dn 


gJ LOUP. GaN 
USER EN 


OO iE 
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Group: e our 
mask: : rw- 


other::r-- 


cess dba ccm 
quete escapa estuve etorsntatague Tote dioi 9i ee 
通过 上 述 两 段 ACL 权 限 显 示 的 对 比 可 以 清楚 地 看 到 : 用 户 gavin 对 于 文件 acl test 的 访问 权限 
己 经 完全 删除 了 ， 表 现 为 user:gavin:rw- 已 经 不 存在 了 。 这 里 提醒 注意 的 是 : 我 们 不 能 够 通过 setfacl 
命令 来 指定 删除 用 户 / 组 对 文件 /目录 的 菏 一 个 特定 权限 (如 r、w 或 者 x) 。 同 时 ， 也 可 以 看 到 ， 使 
用 1s-! 命 令 显 示 文 件 的 9 个 权限 位 还 是 没有 改变 , 因为 改变 的 只 是 ACL 权 限 , 而 不 是 最 基本 的 user、 
group 和 others 权 限 。 
(5) 删除 文件 /目录 的 所 有 ACL 规 则 。 
使 用 -b 选 项 可 以 删除 文件 /目录 的 ACL 权 限 。 以 下 命令 将 删除 文件 acl test 的 所 有 ACL 权 限 。 
可 以 看 到 ， 使 用 getfacl 命 令 来 查看 时 ，mask 项 已 经 消失 ， 即 该 文件 已 经 没有 了 所 有 的 ACL 权 限 : 


Ecos cM ee 














9 sre Ecxedb exedb esE 
# file: acl test 
# owner: gavin 
P Coupe Jarin 
DECE N 
人 
EN 
(6) 履 六 文件 的 原 有 ACL 规 则 。 
覆盖 文件 的 原 有 ACL 规 则 需要 使 用 --set 选 项 。 此 处 需要 强调 一 下 -m 选 项 和 --set 选 项 的 区 别 : 
-m 选 项 只 是 修改 已 有 的 配置 或 是 新 增加 一 些 ; 而 --set 选 项 和 -m 不 同 ， 它 会 把 诛 有 的 ACL 项 全 都 删 
除 ， 并 用 新 的 谷 代 。 态 外 ，--set 选 项 的 参数 中 一 定 要 包 合 U-G-O 的 设置 ， 不 能 像 -m 一 样 上 只 是 添 加 
ACL 残 可 以 了 。 
以 下 示例 是 该 选项 的 使 用 方法 : 





CS a I te I O REIHE a E 
e ee eese 

# file: acl test 

# owner: gavin 

* group: gavin 

user: :rw- 

user:gavin:rwx 

GLODE EW 

GE ou s: E Ee 

mask: : rwx 


other::r-- 
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Cl 
E ee ee 
这 里 需要 提醒 注意 的 是 :， 上述 acl test 文 件 的 权限 标识 位 中 的 group 的 rwx 权 限 ， 并 不 是 表明 
acl test 文 件 所 属 用 户 的 用 户 组 对 其 有 x 权限 ， 实 际 上 只 是 具有 rw 权限 ， 而 是 因为 在 group:test:r-x 中 
指定 了 test 这 个 组 具有 x 权限 ， 所 以 ACL 机 制 在 这 个 标识 位 上 进行 了 体现 ， 在 实际 的 应 用 中 要 特别 
Hm UWD Y. 
CI) 其 他 选项 。 
除了 上 述 介绍 的 4 类 用 法 外 ，setfacl 还 可 以 使 用 如 表 6-1 所 示 的 一 些 选项 ， 供 大 家 在 实际 使 
用 中 参考 。 
































表 6-1 setfacl 选项 

选 项 说 了 明 

从 文件 中 获取 每 修改 的 ACL 权限 

从 文件 中 获取 每 加 除 的 ACL 权限 

设置 默认 的 ACL 权限 

删除 默认 的 ACL 权限 

递归 地 设置 ACL 权限 
--restore 从 文件 恢复 ACL 权限 


BAIE 


4. 为 目录 创建 默认 ACL 

在 日 常 的 使 用 过 程 中 ,经 常 是 通过 对 目录 来 设 定 ACL 权 限 来 满足 应 用 的 需求 ， 而 很 少 仅仅 通 
过 设置 特定 的 文件 来 实现 ， 因 为 这 样 做 比较 索 琐 和 低 效 。 因 此 ， 下 面 承 介绍 如 何 来 为 目录 创建 默 
认 的 ACL。 

如 果 希 望 在 一 个 目录 中 狐 建 的 文件 和 目录 都 使 用 同一 个 预定 的 ACL, 那么 我 们 可 以 使 用 默认 
ACL (Default ACL) 。 在 对 一 个 目录 设置 了 默认 的 ACL 以 后 ,在 目录 中 创建 的 每 个 文件 都 会 目 动 
继承 目录 的 默认 ACL 作 为 自己 的 ACL。 

具体 的 设置 命令 为 ，setfacl -d [目录 名 ]。 

下 面 的 例子 对 新 建 的 test 目 录 进 行 ACL 权 限 设 置 ， 并 在 其 中 新 建 了 testl 和 test2 文件 。 来 看 看 
默认 ACL 的 设置 情况 。 

首先 ， 对 文件 夹 test 进 行 ACL 权 限 查 看 : 






































ea 
f file: test 
# owner: gavin 
* group: gavin 
user::rwx 
四 和 
OCRE PIEK 
接 看 ， 对 其 进行 权限 设 管 。 
ll ne IS ESSE 





Se ue ed ee 
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# file: test 

# owner: gavin 

* group: gavin 

user::rwx 

Groupe ws 

Que cx 

Gieare DULIS UH DUST RNC 

de routes ou WO 

cerault groups: test: r=- 

der a Er messis e n TOP 

eleme c mu UL 
可 以 看 到 ， 经 过 setfacl 设 置 后 ， 访 文件 夹 的 权限 增加 了 以 default 开 始 的 几 项 ， 表 明 设 置 成 功 。 
然后 ， 建 并 两 个 新 的 文件 。 查 看 它们 的 ACL 权 限 信息 : 


touch es test2 








getfacl testl 
Erle FESS EI 


owner: gavin 


dc ^ dE SE X0 dn 


人 

user::rw- 

GEOD N feffective:rw- 
Groud: e e r=—= 

mask: :rw- 


other::r-- 


getfacl test2 
[abes test- 


owner: gavin 


saa dE dB X 


EIN NT ANDE 

user::rw- 

人 feffective:rw- 
LOUD? ESE? PF—= 

mask: :rw- 


other::r-- 


可 以 清楚 地 看 到 : 文件 testl 和 test2 自动 继承 了 test 设 置 的 ACL。 
5. 备份 和 恢复 ACL 


目前 ，Linux 系 统 中 的 主要 文件 操作 命令 ， 如 cp、mv、1s 等 都 支持 ACL。 因 此 ， 在 基本 的 文 
件 /目录 操作 中 可 以 很 好 地 保持 文件 /目录 的 ACL 权 限 。 然 而， 有 一 些 其 他 的 命令 ， 比 如 tar( 文 件 
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归档 ) 每 第 见 的 备份 工具 是 个 会 你 留 目录 和 和 文件 的 ACL 信 息 的。 因此 ， 如 来 希望 备份 和 恢复 市 有 
ACL 的 文件 和 目录 ,那么 可 以 先 把 ACL 符 份 到 一 个 文件 里 ， 行 操作 完成 以 后 ， 则 可 以 便 用 --restore 
选项 来 恢复 这 个 文件 /目录 中 保存 的 ACL 信 息 。 
下 面 给 出 一 个 其 体 的 例子 来 进行 说 明 。 

(1) 获取 文件 acl test 的 ACL 权 限 : 
Se ee 








ee e 


owner: gavin 


SEMEL. EE LL OO 


group ECT CDD 
USC: WX 
users test: 于 三 三 
Groupi 
maeke TSE 
QUNM qe 
(20 将 该 文件 的 ACL 权 限 保存 至 acl testacl 文 件 中 并 进行 查看 : 
v Gre cwedL cekodb ree coexedb el 
2. Gus cud. aa 
# file: acl test 
# owner: gavin 
JU OUO S CIV) 
user::rwx 


user! TeSt Ie 


GH M 
masks s r=- 
CNE eine 
(3) 使 用 tar 命 令 进行 文件 操作 ， 并 但 看 生成 文件 acl.tar 的 ACL 权 限 ， 发 现 其 并 不 具备 ACL 
权限 。 


Oh A ss o ge eenr 
V0 

So ae e ee Ne 

Teribe deln Eae 

# owner: gavin 

Coup anvan 

USES LEW 

OU MS 


other::r-- 


(4) 删除 acl test 文 件 ， 并 释放 acl.tar， 查 看 其 ACL 权 限 ， 发 现 经 过 tar 命 令 后 ，acl test 文 件 不 
再 具备 第 (1) 步 显 示 的 任何 ACL 权 限 ， 表 明 tar 命 令 不 能 保持 文件 的 ACL 权 限 。 
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| Ec Ce 
puteos esc Oeo eet Si 
cue de 
ee le ne ne E 
# file: acl test 
# owner: gavin 
OEC OUI DG] ber) 
uSer::rwx 
group e = 
ueque 
(5) 使 用 命令 从 文件 恢复 acl test 的 ACL 权 限 ， 进 行 查 看 ， 表 明成 功 恢复 。 
Se s cec cud EC cic o 
get trac ds es 
mco cC 


owner: gavin 


H mx — mue — UP — 05 


OND gavin 
uSer::rwx 


user Test 3 到 三 三 


二 步 : 使 用 SELinux 强制 访问 控制 





6.3.1 安全 模型 


1. BLP (Bell & LaPadula) 安全 模型 


Bell & LaPadula (BLP) 模型 是 由 David Bell 和 Leonard La Padula F 1973 年 提出 的 安全 模型 ， 
它 同 时 也 是 一 个 状态 机 模型 。 它 是 定义 多 级 安全 性 的 基础 ， 被 视 作 基本 安全 公理 。 该 公理 最 早 是 
在 Multics 安 全 操作 系统 中 得 到 实施 。 虽 然 从 商业 角度 来 看 ， 该 操作 系统 并 不 成 功 ， 但 是 单 从 安全 
性 角度 来 看 ， Multics 迈 出 了 安全 操作 系统 设计 的 第 一 步 ， 为 后 来 的 安全 操作 系统 的 研制 工作 积 昧 
了 大 量 丰 富 的 经 验 。 随 后 它 又 在 Secure Xenix、System V/MLS. Tunis, VAXIJVMM zz T O 
多 种 安全 系统 的 研制 中 得 到 了 广泛 的 应 用 。 

该 模型 将 计算 机 信息 系统 中 的 实体 分 为 两 部 分 : 主体 和 客体 。 凡 是 实施 操作 的 称 为 主体 ， 比 
如 用 户 和 进程 ;而 被 操作 的 对 象 则 称 为 客体 ， 比 如 文件 、 数 据 库 等 。 对 主体 和 客体 而 言 ， 存 在 着 
两 种 最 重要 的 安全 控制 方法 ， 它 们 是 强制 存 取 控 制 以 及 目 主 存 取 探 制 方式 。 

a MAC (Mandatory Access Control， 强 制 访 问 控制 ) 。MAC 机 制 是 指 系统 不 再 允许 对 象 

《比如 程序 、 文 件 或 文件 夹 等 ) 的 拥有 者 随意 修改 或 授予 此 对 象 相 应 的 权限 ， 而 是 通过 
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强制 的 方式 为 每 个 对 象 统一 授予 权限 ， 例 如 SELinux 中 采用 的 机 制 。 该 机 制 主要 是 通 
过 “安全 级 ”来 进行 。 安 全 级 包含 “ 答 级 ”和 “部 门 级 ”两 方面 ， 答 级 又 分 为 无 密 、 
秘密 、 机 密 和 绝密 四 级 。 为 了 实施 强制 型 安全 控制 ， 主 体 和 客体 均 被 赋予 “安全 级 ”。 
两 者 的 关系 包含 三 点 : 员 主 体 的 安全 级 高 于 客体 ， 当 且 仅 当主 体 的 密级 高 于 客体 的 窗 
级 ， 且 主体 的 部 门 级 包含 客体 的 部 门 级 ; 包 主 体 可 以 读 客体 ， 当 且 仅 当主 体 安全 级 高 
于 或 者 等 于 客体 ;主体 可 以 写 客 体 ， 当 且 仪 当主 体 安 全 级 低 于 或 者 等 于 客体 。 

= DAC (Discretionary Access Control, HEW HEt o DAC 机 制 束 是 指 对 象 《〈 比 如 程 
序 、 文 件 或 进程 等 ) 的 拥有 者 可 以 任意 地 修改 或 授予 此 对 象 相应 的 权限 。 按 照 主体 和 
客体 的 方式 来 次 ， 残 是 主体 对 其 拥有 的 客体 ， 有 权 决 定 目 己 和 他 人 对 该 客体 应 具有 怎 
样 的 访问 权限 。 人 例如， 传统 Linux, Windows 等 都 采用 这 种 机 制 。 


图 6-1 给 出 了 这 两 个 概念 的 比较 图 示 : 
b 


Kernel 



































Discretionary Access Control Mandatory Access Control 
Once a security exploit gains access tc Kernel policy defines application 
priveleged system component, the rights, firewalling applications from 
entire system is compromised. compromising the entire system. 


图 6-1 DAC 5 MAC 的 不 同 之 处 图 示 

















在 BLP 模 型 中 ,每 个 主体 有 最 大 安全 级 和 当前 安全 级 ,每 个 客体 有 一 个 安全 级 。 主 体 对 客体 有 
四 种 存 取 方 式 : 只 读 、 只 写 、 执 行 以 及 读 写 。 该 模型 当中 有 两 条 很 重要 的 规则 ， 如 图 6-2 所 示 。 
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图 6-2 BLP 模型 安全 规则 示意 图 
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(1) 简单 安全 特性 : 是 指 主体 只 能 够 从 下 读 、 向 上 写 。 为 了 使 主体 对 客体 既 能 读 又 能 与 ， 
二 者 的 安全 级 别 必 须 完 全 一 样 。 

(2) * 一 一 特性 : 主体 对 客体 有 “只 号” 权限 ， 则 客体 安全 级 全 少 和 主体 的 当前 安全 级 一 样 
ms 主体 对 客体 有 “该 ”权限 ， 则 客体 安全 级 应 该 小 于 或 者 等 于 主体 当前 安全 级 ; 主体 对 客体 有 
“ 读 写 ”权限 ， 则 客体 安全 级 等 于 主体 的 当前 安全 级 。 


2. RBAC (Role Based Access Control) 模型 


基于 角色 的 存 取 控 制 模 型 (RBAC) 是 一 种 强制 存 取 控 制 机 制 。 在 一 个 RBAC 系 统 中 ， 根 据 
具体 的 业务 要 求 或 管理 要 求 在 系统 内 设置 在 干 个 称 之 为 “角色 ”的 客体 。 所 谓 角 色 ， 用 一 般 业 务 
系统 中 的 术语 来 次， 实际 上 残 是 业务 系统 中 的 疼 位 、 职 位 或 者 分 工 。 例 如 ， 在 一 个 公司 内 ， 仓 库 
管理 员 、 经 理 、 会 计 、 出 纳 等 每 一 种 岗位 都 可 以 设置 多 个 职员 具体 从 事 该 岗位 的 工作 ， 因 此 他 们 
都 可 以 视 为 角色 。 系 统管 理 员 则 负责 管理 系统 的 存 取 权 限 ， 将 这 些 权 限 “〈 分 为 不 同 疾 别 和 级 别 ) 
分 别 赋 予 承担 不 同 工 作 职 贡 的 终端 用 户 ,并 可 以 随时 根据 业务 的 要 求 和 变化 对 角色 的 存 取 权 限 进 
行 管理 ， 包 括 对 可 传递 性 的 限制 。 在 RBAC 系 统 中 ， 要 求 明确 区 分 权限 (Authority》 和 职责 
(Responsibility) 。 例 如 ， 在 具有 严格 保密 级 别 的 系统 内 ， 访 问 权 限 为 0 RKENEN, MARE 
访问 保密 级 为 0 的 所 有 资源 ，0 级 是 他 的 权限 ， 而 不 是 他 的 职责 。 再 比如 ， 一 个 用 户 或 操作 员 可 
能 有 权 访 问 某 个 资源 的 集合 ,但 是 不 能 涉及 有 关 授 权 分 配 等 工作 ; 而 一 位 主管 安全 的 负责 人 可 以 
修改 访问 权限 ， 可 以 分 配 授 权 给 各 个 操作 员 ， 但 是 不 能 同时 具备 访问 / 存 取 任 何 数据 资源 的 权限 。 
这 束 是 角色 的 区 分 。 

在 RBAC 系 统 中 ， 将 者 干 特定 的 用 户 集合 和 茶 种 授权 联结 在 一 起 ， 即 与 茶 种 业务 分 工 ， 例 如 
将 岗位 、 工 种 等 相关 联 的 授权 联结 在 一 起 。 这 样 的 授权 管理 比 针 对 个 体 的 授权 来 说 ， 可 操作 性 和 
可 管理 性 都 强 很 多 。 和 角色 的 变动 远 远 小 于 个 体 的 变动 ， 因 此 RBAC 的 一 个 主要 优点 就 是 它 的 简单 
性 。 美 国 国家 标准 技术 研究 所 (NIST) 对 28 个 组 织 进行 调查 ， 结 果 表 明 ，RBAC 的 功能 相当 强 
大 ， 适 用 于 许多 类 型 《从 政府 机 构 到 商业 应 用 〉 的 用 户 要 求 。 流 行 的 操作 系统 中 ， 除 Linux 之 外 ， 
Netware、Windows NT 等 也 都 采用 了 类 似 的 RBAC 技 术 。 

在 许多 存 取 控制 型 系统 中 , 以 用 户 组 作为 存 取 控制 的 单位 .用户 组 和 角色 最 主要 的 区 别 在 于 ， 
用 户 组 作为 用 户 的 一 个 集合 对 待 ， 并 不 涉及 它 的 授权 许可 ;而 角色 则 既是 一 个 用 户 集 合 ， 又 是 一 
个 授权 许可 的 集合 .在 Linux 中 , 用户 组 在 两 个 文件 中 加 以 定义 (参见 本 书 第 5 章 对 文件 /etc/passwd 
和 /etc/group 的 介绍 ) ， 因 此 很 容易 判定 一 个 用 户 属 于 哪个 组 ， 授 权 则 以 组 为 单位 进行 ， 系 统 中 的 
每 个 文件 或 目录 都 导 这 些 组 确立 了 存 取 访 问 的 授权 关系 , 因此 系统 对 每 个 用 户 都 可 以 判定 其 是 否 
可 以 访问 茶 个 文件 或 目录 。 由 于 授权 是 可 以 传递 的 ， 要 判定 茶 一 特定 的 对 象 的 授权 情况 需要 过 历 
整个 文件 树 。 相 对 而 言 ， 判 定 一 个 用 户 组 的 成 员 从 属 关 系 要 条 里 得 多 ， 对 一 个 用 户 组 的 授权 的 分 
派 指定 相当 不 集中 ， 尽 管 如 此 ，Linux 在 特定 情况 下 还 可 以 文 持 角色 模型 的 。 

与 一 般 的 基于 用 户 组 的 系统 相 比 ，RBAC 系 统 要 求 : 

(1) 操作 /管理 角色 的 授权 许可 所 花费 的 时 衬 代 价 应 当 与 操作 /管理 角色 的 从 属 关 系 的 代价 
KBGH; 

(2) 对 这 两 方面 的 操作 和 管理 工作 应 该 能 够 相对 集中 。 

与 基于 安全 级 别 和 类 别 纵 辣 划分 的 安全 控制 机 制 相 比 ，RBAC 显 示 了 较 多 机 动 灵活 性 的 优 
点 ， 特 别 显 闭 的 特点 是 ，RBAC 在 不 同 的 系统 配置 下 可 以 具备 不 同 的 安全 控制 功能 ， 既 可 以 构造 











































































































































































































第 6 章 
锦上添花 ， 企 业 Linux 操作 系统 ACL 应 用 及 安全 加 固 NIE 





具备 目 主 存 取 控 制 关 型 的 系统 ， 也 可 以 构造 强制 存 取 控 制 闫 型 的 系统 ， 其 全 可 以 构造 同时 兼备 这 
两 种 存 取 控 制 类 型 的 系统 。 


3. 多 级 列 安全 机 制 (MLS) 


MLS (Multi-Level Security， 多 级 别 安全 〉 机 制 给 用 户 提 供 了 可 以 用 不 同等 级 的 安全 水 平 来 
访问 系统 。 例 如 : MLS 安 全 分 级 从 低 到 高 为 Confidential、Secret、Top Secret 和 Individuals， 不 同 
级 别 可 查看 不 同 的 分 类 信息 ， 低 级 别 不 可 查看 高 级 别 的 文档 。 

下 面 将 要 详细 介绍 的 SELinux 文 持 分 级 保护 数据 ， 它 使 用 BLP 模 型 ， 这 个 模型 定义 了 系统 内 
的 信息 是 如 何 基于 粘 附 在 每 个 主体 和 客体 的 标签 来 进行 流动 的 。 如 : 在 Secret 级 别 的 用 户 可 与 其 
他 同 级 别 用 户 共享 数据 ， 并 能 提取 来 和 目 Confidential 级 〈 比 Secret 级 低 ) 的 信息 。 但 在 Secret 级 别 的 
进程 不 能 查看 Top Secret 级 别 ( 比 Secret 级 高 ) 的 数据 。 它 还 阻止 高 级 别 进程 随便 给 低级 别 的 数据 
写 入 信息 。 即 “不 能 恋 较 高 级 别 的 数据 ， 不 能 写 较 低级 别 的 数据 ”模型 。 

在 多 级 别 系统 中 ， 高 级 别 用 户 不 能 目 动 获得 管理 者 权限 , 但 它们 对 计算 机 上 的 所 有 信息 可 以 
有 访问 权 。 安 全 上 下 文中 ， 主 体 和 客体 用 安全 级 别 (Security Levels, SL) 标识 ，SL 由 敏感 属性 
和 分 类 属性 组 成 。Sensitivity (敏感 属性 ) 是 安全 体系 的 属性 , 它 将 数据 等 分 成 不 同安 全 级 别 ， 如 : 
"Secret" Ek "Top Secret" . Categories (分 类 属性 ) 是 一 套 非 体系 的 属性 ， 如 : “US Only” 或 
“UFO”， 表 示 仪 US 使 用 。 分 类 属性 将 数据 分 隅 成 几 个 独立 的 小 组 ， 每 个 小 组 可 归属 于 不 同 的 
用 户 等 ,一 个 SL 必须 有 一 个 敏感 属性 和 0 个 或 多 个 分 类 属性 。 例 如 : SL 是 { Secret / UFO, Crypto }、 
( Top Secret / UFO, Crypto, Stargate } 或 { Unclassified ;。 体 系 的 敏感 属性 跟踪 着 0 个 或 多 个 分 类 
属性 ， 因 为 敏感 属性 还 可 以 分 阳 成 役 此 独立 的 分 类 属性 。 

客体 上 的 安全 级 别称 为 分 级 〈Classifications) ， 主 体 上 的 安全 级 别称 为 Clearances。 值 得 注 
x: MLS 安 全 上 下 文人 至 少 必 须 有 一 个 安全 级 别 《〈 它 由 单个 敏感 度 和 0 个 或 多 个 范畴 组 成 ) ， 
但 可 以 包括 两 个 安全 级 别 ， 这 两 个 安全 级 别 分 别 被 叫做 低 〈 或 进程 趋势 ) 和 高 (或 进程 间 际 )〉， 
如 果 高 安全 级 别 于 失 ， 它 会 被 认为 与 低 安全 级 别 的 值 是 相同 的 (最 常见 的 情况 ) ， 实 际 上 ， 对 于 
客体 和 进程 而 言 ， 低 和 高 安全 级 别 通常 都 是 相同 的 ， 通 常用 于 进程 的 级 别 范 围 被 认为 是 受信 任 的 
主体 〈 即 进程 信任 降级 信息 ) 或 多 层 客 体 ， 如 一 个 目录 ， 它 义 包括 了 不 同安 全 级 别 的 客体 。 


4. 营 见 的 操作 系统 加 固 技术 


我 们 都 知道 ， 操 作 系统 作为 计算 机 系统 的 最 为 基础 和 重要 的 基础 软件 和 系统 软件 ， 起 看 管理 
计算 机 资源 , 直接 利用 计算 机 人 硬件 为 用 户 提 供与 便 件 相关 、 与 应 用 无 关 的 使 用 和 编程 接口 的 作用 。 
它 是 上 层 应 用 软件 获得 高 可 靠 性 以 及 信息 的 完整 性 、 保 密 性 的 基础 。 没 有 操作 系统 安全 的 文 持 ， 
就 没有 获得 网 络 安全 的 可 能 。 为 了 计算 机 网 络 和 信息 的 安全 ， 我 们 有 必要 对 现 有 操作 系统 (尤其 
征 开 放 源 但 的 如 Linux 等 UNIX 操 作 系 统 ) 的 安全 性 进行 研究 和 加 固 。 

从 总 体 上 看 ， 设 计 安 全 内 核 与 设计 操作 系统 突 似 ， 要 用 到 利 规 的 操作 系统 的 的 设计 概念 ， 但 
是 ， 在 设计 安全 内 核 时 ， 优 先 考 虑 的 是 完整 性 、 隔 离 性 、 可 验证 性 等 三 条 基本 原则 ， 而 不 是 那些 
通常 对 操作 系统 来 说 更 为 重要 的 因素 ， 比 如 灵活 性 、 性 能 、 开 发 费用 、 方 便 性 等 。 

总 体 来 说 ， 对 操作 系统 进行 安全 加 固有 以 下 儿 种 方法 〈 见 图 6-3) 。 
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JEZ EFE 
非 安全 操 非 安 全 操 作 系 统 


作 系 统 作 系 统 1 Feds 





原 有 系统 虚拟 型 系统 改进 /增强 型 系统 仿真 型 系统 


图 6-3 ”操作 系统 的 几 种 加 固 方式 








(1) 虚拟 机 法 。 在 现 有 的 操作 系统 与 便 件 之 间 增 加 一 个 新 的 层次 ， 作 为 安全 内 核 ， 现 有 操 
作 系 统 儿 乎 可 以 不 作 任 何 变 动 而 成 为 虚拟 机 。 安 全 内 核 的 接口 基本 与 原 有 健 件 等 价 ， 操作 系统 本 
吴 透 明 地 在 安全 内 核 的 控制 乙 下 ， 它 可 以 不 变 地 文 持 现 有 的 应 用 程序 ， 并 且 能 够 很 好 地 兼容 非 安 
全 操作 系统 的 将 来 版 本 。 硬件 特性 对 虚拟 机 的 实现 非常 关键 ， 它 要 求 原 系 统 的 硬件 和 结构 都 必须 
要 文 持 虚拟 机 。 因 而 这 种 加 固 方 式 的 局 限 性 比较 大 。 

(2) 增强 法 。 在 现 有 的 操作 系统 基础 上 ， 对 原 有 的 内 核 以 及 应 用 程序 采用 一 定 的 安全 策略 
进行 改进 ， 并 且 加 入 相应 的 安全 机 制 ， 形 成 新 的 操作 系统 内 核 。 这 样 增强 后 的 操作 系统 你 持 了 原 
来 操作 系统 的 用 户 接口 。 这 种 方法 是 在 已 有 操作 系统 基础 上 进行 的 , 个 是 对 原 有 内 核 的 完全 改变 ， 
因而 受到 原 有 体系 结构 的 限制 ， 难 以 达到 很 高 的 安全 级 别 。 但 是 这 种 方法 并 不 会 破坏 原 有 系统 的 
体系 结构 ， 开 发 代价 小 ， 不 会 影 啊 原 系统 的 运行 效率 。 现 在 普 过 采用 的 是 这 种 方式 。 

(3) 仿 丰 法 。 对 现 有 的 操作 系统 的 内 核 作 和 面 问安 全 策略 的 修改 ， 然 后 在 安全 内 核 与 原来 安 
全 操作 系统 的 用 户 接 口中 器 入 仿真 程序 。 那 么 ， 我 们 在 建立 安全 内 核 的 时 候 ， 可 以 不 必 如 第 二 种 
方法 一 样 受到 现 有 应 用 程序 的 限制 ， 而 且 可 以 完全 目 由 地 定义 仿真 程序 于 安全 内 核 之 间 的 接口 。 
然而 ,采用 这 种 方式 需要 同时 设计 仿真 程序 以 及 安全 内 核 ， 还 要 受到 原 操 作 系 统 接 口 的 限制 ， 开 
REEK, URR. 


6.3.2 SELinux: Linux 安全 增强 机 制 原理 


随 痢 网 络 的 不 断 发 展 和 Linux 的 广泛 普及 ，Linux 安 全 问题 有 日益 成 为 一 个 普 过 关注 的 重要 话 
题 。 传 统 的 Linux 由 于 root 权 限 的 权力 过 大 而 具有 极 大 的 安全 威胁 ， 一 旦 黑客 入 侵 Linux 操 作 系 统 
并 获取 root 权 限 ， 整 个 系统 将 骏 露 于 恶意 攻击 的 威胁 之 下 。 为 了 解决 这 个 问题 ， 我 们 可 以 采用 
SELinux (Security Enhanced Linux) 。SELinux 控 制 了 无 限 的 root 权 限 ， 并 不 采用 大 众 所 知 的 传统 
Linux 安 全 机 制 。 在 SELinux 下 的 root 账 号 采用 强制 访问 控制 机 制 ， 同 时 限制 用 户 程 序 和 系统 服务 
器 使 用 最 低 的 权限 做 足以 完成 任务 的 工作 。 因 此 ， 即 便 系 统 不 鞋 遭 受 黑客 攻击 ， 由 于 此 引起 的 危 
害 也 随 之 降 到 最 低 限 上 度 ， 因 此 极 大 地 提升 了 Linux 的 安全 性 能 。SELinux 计 划 早 期 由 National 
Security Agency《〈 美 国 国 家 安全 局 ， 简 称 为 NSA) 发 起 ， 虽 在 为 Linux 操 作 系 统 添 加 多 种 安全 等 级 
并 更 加 广泛 地 采用 于 各 个 高 安全 度 需求 行业 。 早 在 2005 年 推出 的 Red Hat 企 业 级 服务 器 版 (Red 
Hat Enterprise Linux， 人 简称 RHEL) Linux 4.0 驶 已 经 开 始 文 持 这 种 高 安全 性 Linux， 并 且 ，Linux 的 
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创始 人 Linus Torvalds 表 示 ，SELinux 也 已 经 成 为 Linux 2.6 系列 内 核 的 一 部 分 。 因 此 ， 在 很 多 主流 
的 Linux 操 作 系 统 版 本 (如 Red Hat Linux. Fedora core/Fedora、Debian 等 ) 中 ， 都 对 SELinux 机 人 制 | 
进行 支持 。 其 中 ， 在 新 版 本 的 Ubuntu 6.0.4 发 行 版 中 ， 将 包含 SELinux 技 术 。Fedora 10 中 也 默认 
4C f SELinux- 


1. SELinux 的 来 源 


NSA 一 直 非 钊 关注 计算 机 操作 系统 的 安全 领域 ， 他 们 发 现 大 部 分 操作 系统 的 安全 机 制 , 包括 
Windows 和 大 部 分 UNIX 以 及 Linux 系 统 ， 都 是 以 DAC 机 制 为 安全 认证 基础 的 。 由 于 DAC 机 制 的 设 
计 很 不 利于 系统 安全 ，NSA 便 一 直 致 力 于 开发 出 一 套 好 的 MAC 安 全 认证 机 制 。 

起 初 ， NSA 的 MAC 系 统 是 在 LOCK 系 统 上 基于 类 型 增强 而 且 策 略 灵活 的 强制 访问 控制 体系 ， 
并 且 随 后 发 展 为 两 个 基于 Mach 的 系统 : DTMach 和 DTOS， 后 来 在 犹他 大 学 的 微 内 核 操 作 系 统 
Fluke 上 实现 出 来 ， 并 命名 为 Flask 安 全 体系 。NSA 和 硕 望 有 操作 系统 商 能 文 持 其 开发 的 MAC 机 制 ， 
但 由 于 所 有 的 这 些 工 作 都 是 基于 实验 室 , 极 少 可 以 在 实验 室 之 外 来 进行 尝试 以 但 看 这 些 思 想 在 真 
实 的 应 用 程序 的 可 行 性 ， 加 之 为 保密 项 目 ， 因 此 很 难说 服 某 个 系统 商 采 用 。 于 是 ，NSA 决 定 选择 
开源 代码 的 Linux 系 统 为 实际 市 场 试 验 系统 。NSA 把 Flask 安 全 体系 集成 到 Linux 操 作 系 统 中 ， 
SELinux 便 孕育 而 生 ， 为 了 真正 配合 SELinux 在 Linux 系 统 上 的 应 用 实施 ，NSA 将 SELinux 作 为 一 个 
开放 源 公 项 目 发 布 出 来 ， 从 而 能 获得 更 加 广泛 的 开 友 者 和 用 户 支 持 。 

2. SELinux 机 制 介绍 


在 SELinux 中 ,每 个 对 象 ( 程 序 、 文 件 、 进 程 等 ) 都 拥有 一 个 安全 上 下 文 (Security Context) ， 
它 依 附 于 每 个 对 和 象 员 上， 上面 记 载 看 这 个 对 象 所 具有 的 权限 。 而 我 们 可 以 通过 制定 安全 集 上 略 
(Security Policy) 来 定义 这 些 安全 上 下 文 ， 从 而 定义 哪 种 对 象 具 有 哪些 权限 。 当 一 个 对 象 需要 执 
行 东 个 动作 时 ， 系 统 会 依照 安全 上 下 文 所 制定 的 内 容 来 检 奏 相对 应 的 权限 ， 如 条 全 部 权限 都 符合 
的 话 ， 系 统 就 会 允许 这 个 操作 的 执行 ， 否 则 都 将 遭 到 拒绝 或 者 操作 失败 。 这 些 过程 不 会 影响 到 其 
他 正常 运行 的 对 象 ， 系 统 会 你 证 它们 的 安全 系统 结构 以 及 稳定 运行 。 

值得 注意 的 是 : 到 目前 为 止 ， 采 用 SELinux 机 制 的 Linux 系 统 中 的 某 个 对 象 需要 执行 茶 个 动作 
的 时 候 ， 系统 权限 认证 不 仅仅 早 独 根据 安全 上 下 文 所 制定 的 内 容 来 检查 ， 同 时 还 要 根据 传统 DAC 
来 检测 。 只 有 DAC 以 及 SELinux 全 部 认证 通过 了 才能 进行 正常 操作 。 

如 果 读 者 了 解 chroot， 那 么 束 能 很 好 地 理解 SELinux 机 制 。chroot 机 制 会 把 某 程 序 置 于 文件 系 
统 下 的 某 一 处 ， 当 运行 的 时 候 ， 就 不 会 也 不 能 离开 这 个 文件 系统 的 部 分 ， 从 而 不 会 影响 整个 的 文 
件 系 统 及 其 权限 管理 。 这 个 过 程 焉 好像 是 把 所 有 的 对 象 都 分 配 到 不 同 的 权限 目 治 域 中 ， 并 且 不 同 
的 权限 目 治 域 役 此 独立 ， 没 有 经 过 授权 的 对 象 驶 不 允许 在 各 个 目 治 域 之 间 传 递 数 据 和 相关 信息 。 

SELinux 的 一 个 重要 概念 是 TE (Type Enforcement， 类 型 强制 ) ， 其 规则 是 将 权限 与 程序 的 
访问 结合 在 一 起 , 而 不 是 结合 用 户 。 本 章 我 们 讨论 的 所 有 SELinux 策 略语 言 特 性 都 是 处 理 主体 CIE 
利 的 运行 中 的 进程 ) 对 客体 〈 文 件 、 目 录 和 和 套 接 宇 等 ) 的 访问 权 的 ， 主 要 集中 于 程序 访问 控制 决 
策 ， 这 也 是 SELinux 的 主要 益处 ， 它 允许 SELinux 策 略 编写 者 基于 程序 的 功能 和 安全 属性 ， 加 上 用 
户 要 完成 任务 需要 的 所 有 访问 权 做 出 访问 决策 , 可 以 将 程序 限制 到 功能 合适 、 权 限 最 小 化 的 程度 ， 
因此 ， 即 使 它 出 了 故障 或 被 攻击 人 破坏， 但 整个 系统 的 安全 并 不 会 受到 威胁 。 例 如 ， 如 果 一 个 Web 
服务 器 的 全 略 阻止 修改 它 显 示 的 文件 ， 那么 即使 服务 器 被 攻破 了 ,TE 策略 也 能 阻止 被 攻破 的 服务 
器 修改 那些 文件 。 这 样 殴 消除 了 通过 Web 服 务 器 的 漏 铀 攻击 造成 对 网 站 的 威胁。 上 只 有 被 攻 做 的 应 
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用 程序 受到 影响 ， 并 且 它 会 被 我 们 在 集 略 中 定义 的 访问 权限 制 。 

在 具体 的 系统 运行 中 ， 在 SELinux 系 统 局 动 的 时 候 ， 会 加 载 一 个 叫做 policy.* 的 安全 宁 略 权限 
文件 ， 这 个 文件 中 束 定 义 了 相关 权限 。 如 果 用 户 在 文件 中 设 定 了 SELinux 古 不 能 在 开机 后 转 回 
permissive 模 式 的 话 ， 那 么 系统 的 root 用 户 则 可 能 无 法 修改 当中 的 设 定 ， 也 束 是 说 root 在 SELinux 
中 已 经 不 上 只 有 默认 的 所 有 权限 。 因 此 ， 即 便 是 黑客 资 取 了 了 root 用户 密 但 并 成 功 入 侵 到 用 户 的 计算 
机 ， 也 只 能 在 他 入 侵 的 这 个 日 治 域 内 进行 破坏 和 信息 名 取 活动 ， 并 不 会 像 以 前 那样 扩 策 到 整个 
Linux 系 统 。 因 此 ， 在 其 体 的 使 用 过 程 中 ， 用 户 会 深切 地 感觉 到 ， 在 传统 的 Linux 中 ，root 拥 有 所 
有 权限 ， 可 以 执行 任何 操作 ; 而 在 使 用 采用 SELinux 的 Linux 时 发 现 上 自己 即便 是 root， 有 些 操作 也 
不 允许 执行 。 

3. 传统 Linux 与 SELinux 的 区 别 


传统 Linux 与 SELinux 的 最 大 区 别 束 是 : 在 传统 的 Linux 目 由 访问 控制 (DAC) 之 后 ，SELinux 
在 内 核 中 使 用 强制 访问 控制 机 制 MAC) 检 枉 允许 的 操作 。 

在 DAC 下 ， 文 件 客 体 的 所 有 者 提供 了 客体 上 的 潜在 风险 控制 。 用 户 可 以 通过 错误 配置 的 
chmod 命 令 和 一 个 非 期 望 的 访问 权限 传递 ， 骏 露 一 个 文件 或 目录 给 一 个 恶意 信任 者 。 这 个 用 户 局 
动 的 进程 ， 如 CGI 脚 本 ， 可 在 这 个 用 户 拥 有 的 文件 做 任何 的 操作 。DAC 实 际 上 仪 有 两 个 主要 的 用 
户 分 类 : 管理 者 和 非 管理 者 。 为 了 解决 权限 分 级 , 它 使 用 了 访问 控制 列表 〈Access Control Lists) , 
给 非 管 理 者 用 户 提供 不 同 的 权限 。 而 root 用 户 对 文件 系统 有 完全 目 由 的 控制 权 。 

MAC 访 问 控 制 框架 可 以 定义 所 有 的 进程 〈 称 为 主体 ， 对 系统 的 其 他 部 分 (如 文件 、 设 备 、 
socket、 奖 口 和 其 他 进程 ， 它 们 被 称 为 客体 或 目标 对 象 ) 进行 操作 的 权限 或 许可 。 这 些许 可 巾 进 
程 和 客体 的 安全 人 策略 来 定义 ， 通 过 内 核实 现 控制 。 这 种 方式 可 给 一 个 进程 仅 授 予 操作 所 需要 的 权 
限 ， 这 亲 循 了 最 小 权限 原则 。 在 MAC 下 ， 即 使 用 户 用 chmod 骏 露 了 他 们 的 数据 ， 但 进程 还 是 无 法 
修改 在 策略 中 没有 许可 的 文件 。 


6.3.3 SELinux 中 的 上 下 文 ( context ) 
















































































1. SELinux 上 下 文 核心 元 素 


SELinux 系 统 中 的 进程 和 文件 都 标记 了 SELinux 的 上 下 文 (context) ， 这 个 上 下 文 包含 了 许多 
有 用 的 信息 ， 包 括 : SELinux 用 户 、 和 角色 、 类 型 、 级 别 等 。 在 运行 SELinux 的 时 候 ， 这 些 上 下 文 信 
恩 部 被 用 来 辅助 进行 访问 控制 决策 。 尤 其 古 在 目击 最 狐 的 Fedora 10 Linux 操 作 系统 中 ，SELinux 
综合 提供 了 RBAC、 类 型 增强 (Type Enforcement, HERTE) 、 多 级 别 安 全 (Multi-Level Security, 
简称 MLS) 三 种 访问 控制 机 制 。 

下 和 面 古 一 个 SELinux 上 下 文 的 例子 。SELinux 上 下 文 广泛 使 用 在 进程 、Linux 用 户 、 文 件 以 及 
运行 SELinux 的 Linux 操 作 系 统 中 。 使 用 如 下 命令 可 以 浏览 文件 (或 者 目录 的 ) SELinux 上下文: 


le le 

















OS te ST Ee) yum.1og 
SELinux 上 下 文 的 组 成 为 : 

SELST ll ele ee 
理解 SELinux 上 上 下文， 是 正确 和 高 效 使 用 它 的 前 提 。 因 此 ， 本 市 对 它 的 组 成 进行 一 一 介绍 。 
1) SELinux 用 户 (SELinux user) 











锦上添花 ， 企 业 Linux 操作 系统 ACL 应 用 及 安全 加 回国 





SELinux user 标 识 一 群 被 授权 的 角色 或 者 是 一 个 特定 的 MLS 范 围 。 每 一 个 Linux 系 统 用 户 都 通 
过 SELinux 机 制 被 映射 为 一 个 SELinux 用 户 ， 这 使 得 Linux 用 户 可 以 继承 SELinux 用 户 的 访问 权限 。 
这 个 标识 主要 用 于 限制 用 户 可 以 进入 的 角色 和 级 别 范 玮 。 我 们 可 以 使 用 root 用 户 的 权限 来 运行 
semanage login -| 命令 ， 从 而 查看 SELinux 用 户 和 Linux 用 户 的 映射 关系 : 


# semanage login -1 








登录 名 SELinux 用 户 MLS/MCS 范围 

le roiti e UNCON En d to s 

POOT Duc onec SU 0 
s ws Ul Shy cem T eus led eS 














上 上述 例 子 的 运行 结果 是 在 Fedora 10 中 获得 的 ， 采 用 上 述 命令 的 运行 结果 可 能 在 不 同 版 本 的 
Linux 中 有 所 区 别 。 从 上 面 可 以 清楚 地 看 到 : Login Name 列 列 出 了 Linux 系 统 用户 ,， 而 SELinux User 
列 列 出 了 这 些 系 统 用 户 所 对 应 的 SELinux 用 户 。 对 于 进程 来 说 ， 这 个 SELinux 用 户 直 接 限制 了 什么 
角色 和 级 别 可 以 为 该 用 户 访 问 ,最 后 一 列 的 MLS/MCS Range 则 给 出 了 MLS 和 MCS (Multi-Category 
Security， 多 种 类 安全 ) 机 制 所 采用 的 级 别 〈level) 。 关 于 级 别 ， 我 们 将 在 下 面 详细 介绍 。 

2) 角色 Crole) 

SELinux 中 有 一 部 分 采用 我 们 在 本 章 中 介绍 的 基于 角色 的 访问 控制 CRBACO 机 制 。 而 role 是 
RBAC 机 制 中 的 一 个 属性 。SELinux 用 户 被 授权 为 角色 ， 而 角色 则 被 授权 为 对 应 的 可 访问 域 

(domain) 。 因 此 ， 角 色 作 为 域 和 SELinux 用 户 之 则 联系 的 媒介 。 通 过 角色 可 以 决定 SELinux 用 户 
可 以 进入 哪些 域 ， 而 最 终 决 定 了 SELinux 用 户 可 以 访问 哪些 对 象 类 型 。 通 过 这 种 机 制 可 以 降低 权 
限 提升 的 风险 。 

3) 类 型 (type) 

类 型 是 类 型 强制 (Type Enforcement〉 机 制 的 一 个 属性 。 这 个 类 型 定义 了 进程 类 型 和 文件 类 
。SELinux 机 和 制 规则 明确 定义 了 类 型 间 互 相 访 问 、 域 访问 类 型 或 者 是 域 则 相互 访问 的 规则 和 许 
。 只 有 在 某 条 SELinux 机 制 规则 允许 的 情况 下 ， 才 允许 上 述 的 访问 发 生 。 

4) Ra] (level) 

级 别 是 上 述 MLS 和 MCS 机 制 的 另 一 个 重要 属性 。 一 个 MLS 范 围 是 一 个 级 别 对 ， 采 用 区 间 标 
识 ， 比 如 《最 低级 别 ， 最 高 级 别 ) 或 者 〈S0，S3) 。 每 个 级 别 都 是 一 个 种 类 敏感 的 数 对 ， 然 而 种 
类 是 可 选 的 。 如 果 存 在 种 类 ， 则 可 以 写 为 sensitivity: 种 类 。 如 果 没 有 种 类 ， 则 写 为 sensitivity 即 可 。 

如 果 种 类 集合 是 连续 的 , 则 在 表示 时 可 以 进行 简写 。 比 如 , c0.c2 与 c0,c1,c2 表示 同样 的 含义 。 
举 个 例子 ， 在 Fedora 10 中 ， 目 标 机 制 (Targeted Policy? 对 MCS 进 行 了 增强 ， 因 此 它 只 有 一 个 敏 
感 级 别 80。MCS 文 持 1024 个 不 同 的 种 类 ， 从 c0 一 直到 1023。 因 此 ，s0-s0:c0.c1023 所 有 的 种 类 都 
ACC. 

JN 5E) ÍT /ete/selinux/targeted/setrans.conf X PF dE E2, UJ Hd lvi. gedit 
等 文本 编辑 需 对 其 进行 直接 编辑 ， 可 以 使 用 semange 命 令 进行 修改 ， 这 样 才 能 确保 修改 的 正确 性 。 

5) 类 型 强制 (Type Enforcement) 

SELinux 开 上 略 大 部 分 都 是 一 套 声 明和 规则 一 起 定义 的 类 型 强制 (TE)〉 视 略 ， 一 个 定义 民 好 、 
严格 的 TE 筑 略 可 能 包括 上 于 个 TE 规 则 ，TE 规 则 数量 的 巨大 并 不 令 人 恢 奇 ， 因 为 它们 表达 了 上 所 有 
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由 内 核 骏 器 出 的 允许 对 资源 的 访问 权 , 这 束 意 味 看 每 个 进程 对 每 个 资源 的 访问 壬 试 都 必须 至 少 要 
有 一 条 人 允许 的 TE 访 问 规 则 ， 如 采 我 们 仔细 思考 一 下 现代 Linux 操 作 系统 中 进程 和 资源 的 数量 ， 就 
明日 为 什么 在 全 略 中 有 那么 多 的 TE 规则 了 。 妆 我 们 添加 由 TE 规则 控制 的 审核 配置 和 标志 时 ， 对 
于 具有 严格 限制 的 SELinux 策 略 ， 第 生 会 见 到 它 包 含有 上 于 条 规则 ， 在 第 三 篇 中 ， 我 们 将 会 讨论 
如 何 创 建 和 管理 这 些 大 量 的 规则 ， 现 在 ， 我 们 和 驳 理 解 一 下 ITE 规 则 是 如 何 工 作 的 。 

TE 规 则 的 绝对 数量 对 理解 SELinux 策 略 是 一 个 挑战 ， 但 是 规则 本 身 并 不 复杂 ， 它 们 的 分 类 相 
对 较 少 ， 所 有 的 规则 基本 上 都 属于 两 类 郊 畴 : 访问 同 量 CAVO 和 类型 规则 。 我 们 使 用 AV 规 则 人 允 
许 或 审核 两 个 类 型 之 间 的 访问 权 ， 而 在 菜 些 情况 下 使 用 次 型 规则 控制 默认 的 标记 决定 。 

正如 它们 的 名 学 暗示 的 意思 ，TE 规 则 通过 安全 上 下 文 与 所 有 资源 联合 起 来 对 类 型 起 作用 ， 
策略 语言 包括 了 另外 的 允许 我 们 定义 类 型 及 其 策略 组 件 的 语句 。 

SELinux 是 不 会 管用 户 的 ， 可 以 给 同一 个 程序 指定 多 个 域 类 型 〈 因 此 有 不 同 的 特权 集 ) ， 这 
样 束 允许 引入 角色 的 概念 。 因 此 ， 访 问 控制 的 标准 仍然 是 基于 程序 的 域 类 型 而 不 是 用 户 的 特权 。 

2. 域 转换 

剖面 我 们 介绍 过 ，SELinux 一 个 很 大 的 特点 束 是 将 进程 和 用 户 的 执行 权限 限定 在 一 个 域 

(domain) 肉 。 因 此 ， 即 使 root 用 户 也 不 可 能 具有 太 大 的 权限 ， 从 而 保证 了 安全 性 。 进 程 从 一 个 

域 转换 到 男 一 个 域 需 要 通过 执行 一 个 具有 新 域 的 “入 口 点 ”权限 的 应 用 程序 来 实现 。 这 个 “入 口 
点 ”许可 在 SELinux 机 制 中 使 用 ， 它 用 来 控制 某 些 应 用 程序 可 以 用 来 进入 一 个 域 。 为 了 清楚 地 说 
明 这 个 问题 ， 下 面 给 出 一 个 实际 的 例子 加 以 说 明 。 

一 个 用 户 想 要 改变 他 的 用 户 密 码 。 为 了 修改 密码 ， 我 们 知道 ， 应 该 运行 passwd 程 序 。 
/usr/bin/passwd 可 执行 命令 的 标记 为 passwd exec t 类 型 ， 如 下 所 示 : 

4$ ls -Z /usr/bin/passwd 












































ES 
在 实际 的 执行 过 程 中 ,该 命令 访问 了 /ete/shadow 文 件 ， 该 文件 的 类 型 为 shadow t， 如 下 所 示 : 
? ls -Z /etc/shadow 
-p-------- root root system u:object r:shadow t:s0 /etc/shadow 
SELinux 机 制 的 相关 规则 规定 : 运行 在 passwd t 域 的 进程 对 标记 为 shadow t 类 型 的 文件 具有 读 
和 写 的 权限 。 并 且 ，shadow_t 类 型 仅仅 只 赋予 和 密码 修改 相 天 的 那些 文件 ， 这 些 文件 包括 
/etc/gshadow、/etc/shadow 以 及 它们 的 备份 文件 。 根 据 这 个 规划， 用户 就 可 以 知道 ， passwd t 域 的 
进程 具有 passwd_exec t 类 型 的 “入 口 点 ”权限 。 因 此 ， 当 一 个 用 户 运 行 /user/bin/passwd 程 序 进行 
密码 修改 时 ， 这 个 用 户 的 shell 进 程 束 切换 到 了 passwd_t 域 。 由 于 运行 在 passwd_t 域 的 进程 对 标记 
为 shadow t 关 型 的 文件 具有 谈 和 写 的 权限 ， 所 以 passwd 进 程 可 以 访问 /etc/shadow 文 件 ， 并 且 更 新 
其 相应 的 用 户 密 人 码 。 当 然 , 在 SELinux 机 制 中 , 如 果 是 默认 情况 下 (没有 相应 规则 的 规定 情况 下 )， 
该 进程 是 无 法 访问 相应 文件 的 。 可 以 进一步 对 这 个 问题 评 细 解释 为 ， 在 传统 的 Linux 中 (未 使 用 
SELinux) ，passwd 程 序 是 可 信任 的 ， 因 而 可 以 修改 经 过 加 密 的 影子 密码 文件 (Jetc/shadow) 。 所 
以 ，passwd 程 序 执行 它 自 己 内 部 的 安全 策略 ， 人 允许 普通 用 户 修 改 属于 他 们 自己 的 密码 ， 同 时 也 允 
许 root 修 改 所 有 密码 。 为 了 执行 这 个 密码 修改 操作 ，passwd 程 序 需 要 有 移动 和 重新 创建 shadow 文 
件 的 能 力 。 在 标准 Linux 中 , 它 上 共有 这 个 特权 , 因为 passwd 程 序 可 执行 文件 在 执行 时 被 加 上 了 setuid 
位 ， 它 作为 root 用 户 〔 它 能 访问 所 有 文件 ) 被 允许 对 密码 进行 修改 操作 。 然 而 ， 许 多 程序 都 可 以 
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作为 root 人 允许 《实际 上 ， 所 有 程序 都 有 可 能 作为 root 人 允许) 。 这 束 意 味 着 任何 程序 〈( 当 以 root 屿 份 
运行 时 ) 都 有 可 能 修改 shadow 文 件 。 因此 , 类 型 强制 使 用 户 能 做 的 事情 是 确保 只 有 passwd 程 序 (或 
类 似 受 信任 的 程序 ) 可 以 访问 shadow 文 件 ， 而 不 管 运行 程序 的 用 户 是 谁 〈 包 括 root 在 内 ) 。 
在 上 述 例子 当中 ， 除 了 SELinux 的 相关 规则 约定 外 ， 关 型 强制 机 制 在 很 大 程度 上 也 确 休 了 以 
下 儿 个 方面 的 前 提 条 件 。 
a ”只 有 标记 为 passwd exec t 类 型 的 应 用 程序 (命令 ) 执行 才能 进入 passwd t 域 ,其 他 的 
命令 执行 都 不 允许 进入 。 
a ”只 有 一 些 授 权 的 域 ， 比 如 passwd t 才 能 对 shadow t 类 型 的 文件 具有 瑟 的 权限 。 即 使 其 
他 的 进程 具有 超级 用 户 的 权限 ， 也 不 允许 对 shadow t 类 型 的 文件 具有 瑟 的 权限 ， 因 为 
它们 并 不 运行 在 passwd t 域 中 。 
a ”只 有 一 些 授权 的 域 才 能 转换 到 passwd t 域 。 比 如 ，sendmail 进程 运行 在 sendmail t ERF, 
在 该 域 中 它们 没有 合理 的 理由 和 权限 执行 passwd 命令 ， 因 此 也 整 不 能 转换 到 passwd t 域 。 
a ”运行 在 passwd t 域 中 的 进程 只 对 授权 的 类 型 具有 读 和 写 的 权限 , 例如 , 标记 为 shadow. t 
和 etc t 类 型 的 文件 。 这 就 有 效 地 阻止 了 passwd 命令 对 其 他 文件 的 任意 读 和 写 权 限 ， 从 
而 保证 了 安全 。 


3. SELinux 中 进程 的 上 下 文 


为 了 了 解 SELinux 中 进程 的 上 下 文 信息 ， 我 们 可 以 使 用 ps -eZ 命令 来 查看 进程 的 上 下 文 信息 ， 
如 下 所 示 : 


# ps -eZ | grep passwd 















































We 
上 面 的 例子 显示 了 /sr/bin/passwd 命 令 〔( 标 记 为 passwd_exec t2$78) 的 上 下 文 信息 。 值 得 注 
意 的 是 : 这 个 类 型 不 但 定义 了 该 进程 执行 的 域 ， 也 定义 了 它 可 以 访问 的 文件 的 类 型 。 
人 下面 ， 再 使 用 该 命令 来 显示 系统 中 运行 的 命令 的 SELinux 上 下 文人 信息。 下面 是 部 分 显示 信息 : 
# ps -eZ 
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Eee do LI Dos ESO a pens gus I 
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4. SELinux 中 用 户 的 上 下 文 
可 以 采用 id -2 命令 来 显示 与 Linux 用 户 相 关 的 SELinux 上 下 文 信息 ， 如 下 所 示 : 
# id -Z 
uncos edenumneonmmuedscumesnpmece 
值得 一 提 的 是 : 在 Fedora 最 新 的 版 本 Fedora 10 中 ，Linux 用 户 的 运行 默认 为 未 限制 
Cunconfined) 。 这 个 SELinux 上下文 表 明 Linux 用 户 被 映射 到 unconfined t 域 ， 它 们 的 MLS 范 围 为 
s0-s0 《也 就 等 同 于 s0〉。 


6.3.4 SELinux 中 的 目标 策略 ( Targeted Policy ) 


1. 目标 策略 原理 


targeted 策 略 是 从 strict 示 例 策 略 衍生 而 来 的 ， 它 的 结构 和 组 织 几 乎 是 一 样 的 ， 但 strict 策 略 更 
趋 癌 于 最 大 化 使 用 SELinux 所 有 特性 ， 为 大 部 分 程序 提供 强大 的 安全 保护 ， 而 targeted 策 略 的 目标 
是 隔离 高 风险 程序 。 使 用 targeted 策 略 的 好 处 是 ， 一 方面 可 以 同 Linux 系 统 添加 大 量 的 安全 保护 ， 
同时 又 尽量 少 影响 现 有 的 用 户 程 序 。targeted 策 略 主要 集中 于 面向 网 络 的 服务 〈 即 那些 暴露 在 外 任 
意 遭 受 黑 客 攻击 的 组 件 ) ，targeted 策 略 是 RHEL 和 Fedora 系 统 上 标准 的 策略 ， 因 为 它 在 增强 安全 
性 和 减少 对 现 有 应 用 程序 影响 之 间 达 到 了 一 个 很 好 的 平衡 。 

如 果 安 装 了 targeted 示 例 策略 ， 可 以 在 /etc/selinux/targeted/src/policy/ 目 录 下 看 到 它 的 源 文件 ， 
从 各 个 方面 来 看 ，targeted 示 例 策 略 源 与 strict 示 例 源 都 非常 相似 。 

targeted 示例 策略 和 strict 示 例 策略 之 同 主 要 的 基 寞 是 使 用 了 无 限制 的 域 类 型 
unconfined t， 并 移 除 了 所 有 其 他 用 户 域 类 型 ， 如 sysadm t 和 user t， 这 也 意味 看 基本 的 角色 结构 
也 被 移 除 了 ， 上 所 有 用 户 都 以 角色 system_Tr 运 行 ， 几 乎 所 有 的 用 户 运 行 的 程序 都 以 unconfined t 域 类 
型 执行 。 当 然 ， 无 限制 域 和 限制 域 都 需要 接受 可 执行 和 可 写 的 内 存 检 伍 。 在 贾 认 情况 下 ， 运 行 在 
无 限制 域 下 的 主体 不 能 分 配 可 写 和 可 执行 的 内 存 ， 这 个 机 制 降低 了 系统 遭受 缕 冲 区 淤 出 攻击 

(buffer overflow attack) 的 风险 。 当 然 ， 这 些 内 存 检 栓 可 以 通过 设置 我 们 下 面 需要 详细 介绍 的 布 
尔 变 量 来 天 挥 ， 它 使 得 SELinux 策 略 可 以 在 运行 时 得 到 修改 。 

用 户 可 以 在 ./domain/unconfined.te 中 找 人 天 unconfined 域 定义 ,注意 在 targeted 示 例 策 上 略 中 ，strict 
策略 文件 admin.te 和 user.te 不 再 位 于 ./domains/ 目 录 下 , 这 些 文件 为 strict 示 例 策 略 定义 了 各 种 各 样 的 
用 户 域 ， 每 一 个 都 具有 受 限 的 特权 ， 在 targeted 示 例 策 略 中 ， 所 有 程序 都 以 unconfined t 域 类 型 运 
行 ， 除 非 它 们 都 明确 地 指定 了 域 类 型 (因此 称 其 为 targeted) ， 本 质 上 unconfined 域 可 以 访问 所 有 
的 SELinux 类 型 ， 使 它 免 除 SELinux 安 全 控制 《因此 成 为 unconfined ) 。 在 strict 示 例 策 上 略 
中 ，./domains/program/ 包 括 许 多 和 上 略 模块 ， 每 个 模块 代表 一 个 或 多 个 域 类 型 和 关联 的 类 型 ， 以 及 
为 特定 程序 制定 的 规划。 在 targeted 示 例 策 略 中 ， 这 个 目录 包括 的 文件 要 少 得 多 ， 这 些 束 是 目标 。 
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目标 示例 策略 模块 与 strict 策 略 中 策略 模块 类 似 , 例如 : strict ping 模 块 和 targeted ping 模 块 是 
一 致 的 ， 但 有 部 分 targeted 模 块 只 是 简单 地 定义 类 型 使 域 不 受 限 制 〈 不 是 targeted) ， 例 如 : WR 
查看 crond 的 targeted 策 略 (crond.te), 会 发 现 有 一 行 unconfined domain(crond +t)。 这 个 宏 在 targeted 
示例 中 定义 在 .policy/macros/global macroste 文 件 中 , 它 将 crond 域 类 型 提供 了 所 有 SELinux 访 问 
权 ， 使 得 它 不 受 限 制 ， 如 果 我 们 将 其 与 strict 版 本 (/etc/selinux/strict/src/policy/domains/program/ 
crond.te〉crond 模 块 进行 比较 ， 会 看 到 它们 之 间 有 很 大 的 差 寞 ， 在 targeted 策 略 中 ，crond 被 认为 
是 不 受 限制 的 域 ， 但 在 这 两 个 琐 略 中 ping 却 保留 为 strict 域 。 


2. 限制 进程 


几乎 所 有 的 服务 进程 都 在 限制 下 运行 。 并 且 ， 大 多 数 以 root 吴 份 运行 的 系统 进程 〈 比 如 说 
passwd 进 程 ) 都 是 受 限 制 的 。 当 进程 受 限 制 时 ， 筷 只 能 在 目 己 限制 的 域内 运行 ， 例 如 Web 服 务 进 
程 httpd 只 能 运行 在 httpd_t 域 内 。 如 采 一 个 受 限 制 的 进程 被 黑客 攻击 并 控制 了 ， 根 据 SELinux 人 策略 
配置 ， 这 个 黑客 也 仅仅 只 能 访问 这 个 受 限制 的 域 ， 因 此 攻击 所 珊 来 的 危害 也 比 传统 的 Linux 小 了 
很 多 。 

以 下 通过 一 个 具体 的 限制 进程 的 例子 (RHEL 或 者 Fedora 系 统 中 的 例子 ) 来 说 明 SELinux 是 如 
何 将 进程 限制 在 目 己 的 域内 运行 的 。 这 个 例子 以 用 户 非 常熟 悉 且 常用 的 Apache 服 务 器 中 的 httpd 
进程 为 例 ， 来 介绍 SELinux 是 如 何 阻 I 上 httpd 进 程 来 访问 由 其 他 域 管理 的 文件 类 型 的 。 

(I) 运行 sSestatus 命 令 来 确认 Linux 中 SELinux 是 运行 的 ， 它 运行 在 enforcing 模 式 下 (具体 有 
关 SELinux 运 行 的 三 种 模式 ,将 在 后 面 小 市 详细 介绍 ,该 模式 可 以 人 简单 理解 为 SELinux 的 完全 运行 
模式 ， 它 可 以 进行 强制 访问 控制 ) ， 且 确保 采用 了 目标 策略 : 


eS 












































CE CLAUS c ener euer enabled 
Imi > S HEADS ES "eee deme 
Current mode: enforcing 
Mode from config file: enforcing 
PEONIO ee 2 

BG aC el I MN CORE eb ke targeted 











上 述 运 行 结果 表明 SELinux 运 行 在 enforcing 模 式 下 ， 且 采用 了 目标 策略 。 
(2) 采用 Linux 中 的 root 用 户 权 限 ， 使 用 如 下 命令 在 httpd 的 工作 目录 中 创建 一 个 新 的 文件 : 
a ete A 28 E eee ri s 
(3) 运行 如 下 命令 来 得 看 该 文件 的 SELinux 上 下 文 信息 : 
RE 








让 
html/testfile 
从 上 述 结果 可 以 清楚 地 看 到 : 在 默认 情况 下 ，Linux 用 户 是 非 限 制 的 ， 因 此 刚 创 建 的 testfile 
文件 的 SELinux 上 下 文中 的 类 型 标记 为 unconfined u。RBAC 访 问 控制 机 制 是 用 于 进程 的 ， 不 是 用 
于 文件 。 并 且 , 角色 对 于 文件 来 说 也 没有 什么 太 大 的 含义 ， 因此 上 述 结果 中 的 object_r 和 角色 也 仅仅 
是 一 个 用 于 文件 的 通用 角色 。 在 /proc 目 录 下 ， 与 进程 相关 的 文件 可 以 及 用 system fr 角色 。 男 外 ， 
结 末 中 的 httpd_sys_content t 类 型 允许 httpd 进 程 访问 该 文件 。 
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(4) 以 Linux 的 root 用 户 身 份 运行 下 述 命令 来 运行 httpd 进 程 ， 如 下 所 示 : 
* /sbin/service httpd start 








JH] httpd: [确定 ] 
C5) 切换 到 一 个 Linux 用 户 具 有 权限 的 目录 下 ， 运 行 如 下 命令 ， 结果 为 该 命令 能 够 正确 地 执 
行 并 下 载 文件 : 


* wget http://localhost/testfile 

-—2 tisse. (0 dom 2 TE IE]9 ut d^ eee ul nO S e es 
IEXEREBT-XEUL localhost... 127.0.0.1 

(oT Ham ee Eo 人 

已 发 出 HTTP 请 求 ， 正 在 等 竺 回应 . . 200 OK 
人 


Sao le re ele. 
ac ] 0 0 EN 


ZAUALIE D 0 0 us ME (OO ES co le e a TRO ADU] 
(6) fitHjcheoní e 2X AEREI TEER. AAT. XUREDRPRRVAA EKA ENE, 
一 旦 系统 重 局 ， 该 标识 就 会 改变 回去 。 对 于 文件 类 型 的 永久 性 改变 ， 需 要 采用 semanage 命 令 ， 这 
个 命令 在 后 面 将 进行 详细 介绍 。 下 和 面 ， 以 root 用 户 的 喘 份 ， 运 行 如 下 命令 来 将 上 面 步 又 中 创建 的 
testfile 文 件 的 类 型 改 为 由 Samba 进 程 使 用 的 文件 : 
Eee 
然后 ， 运 行 ls -z /var/www/html/testfile 命 令 来 查看 改变 的 结果 ， 如 下 所 示 : 
HS /var/www/html/testfile 




















人 
人 
CI) 在 传统 的 Linux 中 httpd 进 程 可 以 访问 testfile 文 件 ， 下 面 需要 尝试 一 下 在 SELinux 中 ， 该 
进程 是 否 能 够 成 功 地 访问 testfile 文 件 。 如 步骤 C5) 所 示 ， 再 次 运行 该 命令 进行 文件 下 载 工作 ， 发 
现 命令 运行 失败 ， 文 件 疫 有 权限 下 载 ， 运 行 结束 如 下 所 未: 
* wget http://localhost/testfile 








29 db TESI 40 a Lal el iet qb be 
IEXERENT-EBL localhost: 127.0.0.1 
CoOnme cE NES ROSS 
已 发 出 HTTP 请 求 ， 正 在 等 竺 回应 … 403 Forbidden 
2 
通过 上 述 7 个 步骤 的 详细 泪 示 可 以 得 知 : 虽然 传统 的 Linux 的 DAC 机 制 多 许 httpd 进 程 访问 
testfile 文件 ， 然 而 SELinux 的 MAC 机 制 却 拒绝 该 访问 操作 。 原 因 在 于 : 访 文 件 的 类 型 
(samba share t) httpd 进 程 不 能 访问 ， 因 此 SELinux 拒 绝 了 该 操作 。 同 时 ，SELinux 对 这 些 操作 日 
志 进 行 了 评 细 的 记载 ， 以 方便 系统 管理 员 事 后 进行 审计 和 处 理 ， 可 以 但 看 /Var/log/messages 文 件 ， 
如 下 所 示 : 
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S20 OO e le Ol o E UE cM en Sar CE olm) 
Poceo e cue ene we e e e a S nme SIE anatubs 
messages. run sealert -1 da48547d-9103-4a01-95ef-03fcle48092e 

M0 0d wal le ho EI Lev er nl (ls) 
ds Et nl nl em E ne 
messages. run sealert -l da48547d-9103-4a01-95ef-03fcle48092e 

另外 ， 相 关 的 错误 日 志 也 可 以 查看 /Var/log/audit/audit.log 文 件 ， 如 下 所 示 : 

yoe=AVO mog raude (74A dD A AO Oe denied roel et for pd- A 
comm-"httpd" path-2"/var/www/html/testfile" dev=sdal ino=471358 scontext 

neon cccengec c 50 
人 

type-SYSCALL msg-audit(1241564654.246:26) : arch-40000003 syscall-2196 success 

-no exit--13 a0-2b94aeea8 al-bfb26bec a2-54dff4 a3-2008171 items-0 ppid-2741 
pid-2744 auid-500 uid-48 gid-48 euid-48 suid-48 fsuid-48 egid-48 sgid-48 fsgid-48 
Em om Ee = lm ne oni en 

ea le le 

并 且 ， 由 于 该 操作 涉及 httpd 服 务 进程 ， 由 于 该 服务 也 有 目 己 的 日 忘 文件 ， 因 此 ， 也 可 以 通过 
/var/log/httpd/error log 文件 进行 合 看 ， 如 下 所 示 : 
Wed Mar OC 0 A O or ror mte Ee WOO lS e erm ss le aen re d 











access tOo /rtescfilecdeniedl 


3. 非 限制 进程 


非 限制 的 进程 运行 在 非 限制 域 中 。 比如, init 进 程 运行 在 非 限制 的 initre_t 域 中 , 非 限制 的 kernel 
进程 运行 在 kernel t 域 中 ， 非 限制 的 用 户 运 行 在 unconfined t 域 中 。 对 于 非 限 制 的 进程 ，SELinux 
策略 规则 仍然 适用 ， 然 而 有 天 人 允许 进程 运行 在 非 限 制 域 中 的 规则 几乎 允许 所 有 的 访问 。 因 此 ， 如 
果 一 个 非 限制 进程 被 黑客 控制 的 话 ， 那 么 SELinux 将 不 能 阻止 黑客 获取 对 系统 资源 和 数据 的 访问 
人 权限， 当然 DAC 规 则 仍然 适用 ， 因 为 SELinux 机 制 是 在 DAC 层 次 上 附加 一 层 对 Linux 的 增强 ， 而 不 
是 简单 地 符 代 DAC。 

下 面 将 给 出 一 个 具体 的 例子 来 说 明 Apache Http 服 务 器 〈httpd 进 程 ) 在 非 限制 的 条 件 下 运行 ， 
是 如 何 访问 本 应 由 Samba 服 务 需 访问 的 数据 的 。 值 得 注意 的 是 : 在 Red Hat Linux 和 Fedora 10 中 ， 
httpd 进 程 默 认 是 限制 运行 在 httpd_t 域 中 的 。 下 面 的 例子 假设 用 户 系统 中 安 钱 了 httpd、wget《〈 一 种 
类 似 于 Windows 系 统 下 Flashget 软 件 的 多 线程 下 载 工 具 ) 、settroubleshoot-server、audit 等 工具 包 ， 
并 有 日 SELinux 机 制 运行 在 enforcing 模 式 下 。 

(1) 运行 Sestatus 命 令 来 确认 Linux 中 SELinux 是 运行 的 ， 且 运行 在 enforcing 模 式 下 ， 运 行 结 
AU P Bra: 


ee eens 
























































SEIT ee: enabled 
SELINUXES MOUNTE /selinux 
Current mode: enforcing 
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Modenfrom te Trle: enforcing 
[ONE ICH CHINO em 
EU IP ITANE eU NM e targeted 


(2) 以 root 用 户 喘 份 ， 创 建 一 个 新 的 测试 文件 testfile2。 该 文件 路 径 为 httpd 进 程 的 工作 目 
Kre 
touch /var/www/html/testfile2 
(35 使 用 ls-z 命 令 来 得 看 新 创建 文件 的 SELinux 上 下 文 信 息 ， 如 下 所 示 : 


a ls /A 





ZEW n 15 root npeonummecmu oye IS ON en 
/var/www/html/testfile2 
从 上 述 结果 中 可 以 清楚 地 看 到 : Linux SAWSTITEAEBR til, Hr EAtestfile2 文件 上 下 文 
信息 标识 为 unconfined u。 并 且 ，RBAC 用 于 进程 ， 而 不 是 文件 。 另 外 ， 对 于 文件 来 说 角色 也 没有 
特别 的 含义 ， 因 此 赋予 其 object IT 为 较 通 用 的 角色 。 而 httpd_sys_content 闫 型 则 允许 httpd 进 程 对 议 
文件 进行 访问 。 
(4) 采用 chron 命 令 和 暂时 对 文件 的 标识 进行 改变 。 同 本 革 前 面 的 例子 一 样 ， 一 旦 系统 重启 ， 
该 改变 将 会 失效 。 奉 要 永久 改变 文件 的 标识 ， 可 以 采用 semanage 命 令 进行 操作 。 使 用 root 用 户 号 
份 ， 运 行 如 下 命令 来 将 文件 类 型 改 为 由 Samba 服 务 占 可 访问 的 类 型 : 
te om ml a lV ee le ee ee 
然后 ， 及 用 1s-z 命 令 来 查看 修改 后 的 结 


Hl /Al nn 

















I ee li Ci el nl Se E O le wt 
Be ee 

(5) 在 将 httpd 进 程 从 限制 修改 为 非 限制 之 前 ， 需 要 将 该 进程 停 上 ， 使 用 如 下 命令 : 
#/sbin/service httpd stop 

(6) 以 root 用 户 喘 份 运行 如 下 命令 ， 来 改变 httpd 进 程 的 类 型 ， 以 将 其 从 限制 改 为 非 限 制 : 
人 

然后 ， 使 用 ls-z 命 令 来 查看 进程 ， 以 确保 修改 生效 ， 如 下 所 示 : 


one 本 本 | 











ace 


CI) 为 了 使 httpd 在 运行 时 该 修改 生效 ， 需 要 重新 月 动 httpd 进 程 ， 如 下 所 不: 


f/sbin/service httpd start 


(8) 采用 ps-ez | grep httpd 命 令 来 查看 httpd 进 程 运 行 在 非 限制 域 中 的 情况 ， 如 下 所 示 : 
# ps -eZ | grep httpd 





mneomnunedeu E ee a Ec p OM | 
UAC OT ccce onm nec cu ON OO 0 ea 
U Om ne el Cl NT | 
TIT Ti I ee mS m OEEISMeGND 0 ME | 
人 有 Or SOE OO EA 
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OMM | 
AOO OOOO OERE 
2 (9) «(G0 (0 0h el 
CORDE | 
| 





(9) 在 有 权限 许可 的 目录 下 ， 运 行 如 下 命令 来 测试 httpd 进 程 运行 在 非 限 制 情况 下 的 效 朱 ， 


如 下 所 示 : 


* wget http://localhost/testfile2 
==2011=05=06 ©Q7s:24s47== 


http://localhost/testfile2 


IEXEfi&BT-EBL localhost: 127.0.0.1 
Connecbgyne ue eC a 
LAU HTTP iK. IETESERRBIM-.- 200 OK 
15st odis i 
Smee ste obe stp Dico 
[ecc Ji 8 —-—.-HK c o sam Qe 
Zudem eS c) tc ctae: 22 Eee 209 








上 述 运 行 结 末 显示 ， 该 命令 能 够 成 功 运行 。 虽 然 httpd 进 程 原 来 没有 访问 标记 为 samba_share t 








类 型 文件 的 权限 , 然而 由 于 修改 , httpd 进 程 现 在 运行 在 非 限 制 环境 下 (unconfined t), 所 以 SELinux 


转 为 执行 DAC 机 制 ， 而 wget 命 令 可 以 访问 该 文件 ， 


所 以 成 功 执行 。 





C100 测试 结束 后 ， 需 要 使 用 如 下 命令 来 恢复 该 httpd 进 程 本 来 的 运行 限制 : 


Na Sv | 
然而 ， 
a ne ole 


WE OX 


采用 如 下 命令 来 进行 查看 ， 发 现 httpd 进 程 又 从 非 限制 状态 恢复 为 限制 状态 : 


ie 


C112 使 用 如 下 命令 重新 月 动 httpd， 以 使 修改 在 httpd 进 程 运行 时 生效 ， 并 通过 ps-ez 命 令 来 





但 看 进程 的 运行 状态 : 
#/sbin/service httpd restart 
# ps -eZ | grep httpd 

2963 

2965 

2966 

Zi d 

2968 

2969 


ZI 


nneonsnpeomec temario dgrs 
Ha OnE INe Uo yo een r DELP EnS 
prore ean raae el ee e E SD 
ee 
A ON E Se 
LTG OT iaa cuc enam b cS 
ER 
人 
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? 00:00:00 httpd 
? 00:00:00 httpd 
? 00:00:00 httpd 
? 00:00:00 httpd 
? 00:00:00 httpd 
? 00:00:00 httpd 
? 00:00:00 httpd 
? 00:00:00 httpd 
? 00:00:00 httpd 
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LO | 

到 此 为 止 , 上 述 例子 详细 地 演示 了 SELinux 是 如 何 通 过 限制 进程 的 运行 来 你 证 Linux 系 统 安 全 
的 ， 也 看 到 了 如 果 将 进程 改 为 unconfined 运 行 状 态 的 安全 隐患 ， 因 此 提醒 广大 用 户 在 实际 应 用 过 
程 中 切忌 不 要 随便 将 进程 默认 的 限制 运行 状态 改 为 非 限 制 状态 ， 以 免 给 Linux 系 统 市 来 不 必要 的 
厂 烦 和 安全 隐患 。 

4. 限制 和 非 限制 用 户 

在 前 面 的 介绍 中 曾经 提 到 过 ， 每 个 传统 的 Linux 用 户 在 SELinux 中 都 被 映射 为 一 个 SELinux 用 
户 。 这 使 得 Linux 用 户 能 够 继承 在 SELinux 用 户 上 的 访问 控制 。 用 户 可 以 使 用 semanage login-] 命 令 
来 租 看 两 关 用 户 之 间 的 基体 映 射 情 况 ， 如 下 所 不: 


# semanage login -1 














登录 名 SELinux 用 户 MLS/MCS 范围 
mecer3u UNCON En M to s 

POON O E o Se e e duree 
Exec TUI Shy rem T eus educ S 


举 个 例子 ， 在 Fedora 10 "P, Linux HJ EX3A BU] SISELinuxH] default login 中 ， 从 而 映射 为 
unconfined u 用 户 类 型 。 
下 面 通过 一 个 更 加 具体 的 在 SELinux 中 添加 新 用 户 的 例 季 ， 来 次 明 SELinux 是 如 何 来 映射 
Linux 用 户 的。 该 例子 的 具体 操作 步骤 如 下 。 
(I) Broot 用 户 身 份 ， 运 行 useradd 命 令 ， 添 加 一 个 新 用 户 liyang: 
tuseradd liyang 
(2) 以 root 用 户 身 份 ， 运 行 pBasswd 命 令 ， 修 改 该 用 户 的 密码 : 
#passwd liyang 
(3) 退出 当前 的 root 运 行 映 份 ， 以 liyang 的 映 份 重 狐 登 录 Linux。 芷 狐 登 录 后 ，SELinux 将 为 
用 户 liyang 生 成 SELinux 上 下 文 ， 但 看 该 用 户 的 上 下 文 : 
$ id -Z 

















eonim sm nec nuum Dee 
a REAS, Linx — 74 390H/ f, SELinuc SAU BB TZ H]J" Zgunconfined u 
类 型 ， 角 色 为 unconfined r， 以 及 unconfined t 级 别 。 
限制 和 非 限 制 用 户 都 需要 接受 可 执行 和 可 写 的 内 存 检查 ， 并 且 受 MCS 和 MLS 机 制 的 约束 。 
如 果 一 个 非 限制 的 用 户 执行 了 一 个 从 unconfined t 域 向 一 个 允许 的 域 转变 的 应 用 程序 , 非 限制 用 户 
仍 要 接受 那个 转变 到 的 域 的 限制 。 这 个 融 傈 证 了 即使 一 个 用 户 是 非 限 制 的 , 这 个 应 用 也 是 受 限 的 ， 
因此 ， 软 件 的 漏 铜 所 引起 的 风险 融 能 得 到 限制 。 


6.3.5 SELinux 配置 文件 和 策略 目录 介绍 











1. SELinux 主 配置 文件 一 一 /etc/selinux/config 
SELinux 主 配置 文件 /etc/selinux/config 控 制 系 统 下 一 次 局 动 过 程 中 载 入 哪个 菏 略 ， 以 及 系统 
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运行 在 哪个 模式 下 ， 可 以 使 用 sestatus 命 令 确 定 当 前 SELinux 的 状态 ， 下 面 显 示 了 一 个 config 文 件 
的 例子 ; 
t raro trle Controlo the Stoa Ol BEIC Onee sem 
# SELINUX= can take one of these three values: 
ia Sf Ol cc S a ee el 
TD Tl eT I a Te Tile ee OT dem 
4$ disabled - No SELinux policy is loaded. 
SELINUX-enforcing 
# SELINUXTYPE- can take one of these two values: 
# targeted - Targeted processes are protected. 
# msds MIEL bevel SC CIS eH ooo Tue 
SELINUXTYPE-targeted 
这 个 文件 控制 两 个 配置 设置 一 一 SELinux 模 式 和 活动 策略 。 
a ”SELinux 模式 (由 上 述 例子 中 第 6 行 的 SELINUX 选项 确定 ) : 可 以 被 设置 为 enforcing、 
permissive 或 disabled 三 种 。 
。 ”在 enforcing 模式 下 ， 策 略 被 完整 执行 ， 这 是 SELinux 的 主要 模式 ， 应 该 在 所 有 要 
求 增 强 Linux 安全 性 的 操作 系统 上 使 用 。 
e {E permissive 模式 下 ， 策 略 规则 不 被 强制 执行 ， 相 反 ， 只 是 审核 遭受 拒绝 的 消息 ， 
除 此 之 外 ，SELinux 不 会 影响 系统 的 安全 性 ， 这 个 模式 在 调试 和 测试 一 个 策略 时 非 
HH. 
。 TE disabled BE F, SELinux 内 核 机 制 是 完全 关闭 了 的 ， 只 有 系统 局 动 时 和 集 上 略 载 入 
前 系统 才 会 处 于 disabled 模式 ， 这 个 模式 和 permissive 模式 有 所 不 同 ，permissive 
模式 有 SELinux 内 核 特征 操作 ， 但 不 会 拒绝 任何 访问 ， 只 是 进行 审核 ， 在 disabled 
模式 下 ，SELinux 将 不 会 有 任何 动作 ， 只 有 在 极端 环境 下 才 使 用 这 个 模式 ， 例 如 ， 
当 策 略 错误 阻止 用 户 登 录 系 统 时 ， 即 使 在 permissive 模式 下 也 有 可 能 发 生 这 种 事 
情 , 或 我 们 不 想 使 用 SELinux 时 。 这 里 需要 特别 注意 的 是 :在 enforcing 和 permissive 
模式 或 disabled 模式 之 间 切 换 时 要 小 心 ， 当 返回 enforcing 模式 时 ， 通 负 会 导致 文 
件 标记 不 一 致 。SELinux 配置 文件 中 的 模式 设置 由 init 使 用 ， 在 它 载 入 初始 彩 略 前 
配置 SELinux 使 用 。 
= SELinux 活动 策略 : SELinux 配置 文件 中 的 SELINUXTYPE 选项 告诉 init 在 系统 局 动 过 
程 中 载 入 哪个 策略 ， 这 里 设置 的 字符 串 必 须 匹 配 用 来 存储 二 进 制 策略 版 本 的 目录 名 ， 
例如 ， 我 们 使 用 MLS 素 略 作为 例子 ， 因 此 我 们 设置 SELINUXTYPE=MLS， 确 保 我 们 
想 要 内 核 使 用 的 策略 在 /etc/selinux/config 文件 中 。 在 上 述 例子 中 ， 活 动 策略 默认 为 目标 
策略 (targeted) ， 由 第 10 行 给 出 。 
2. SELinux 策略 目录 
SELinux 系 统 上 安 状 的 每 个 全 上 略 在 /etc/selinux/ 目 录 下 都 有 它们 目 己 的 目录 ， 子 目录 的 名 凶 对 
AFRIKI strict, targeted. refpolicy5) ， 在 SELinux 配 置 文件 中 束 要 使 用 这 些 子 目 录 
名 字 ， 告 诉 内 核 在 局 动 时 载 入 哪个 东 上 略 ， 在 本 划 中 提 到 的 所 有 路 人 径 部 是 相对 域 集 略 目录 路 狂 
/etc/selinux/[policy]/ 的 ， 下 面 是 Fedora 10 系统 上 /etc/selinux/ 目 录 的 简单 列表 输出 : 
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录 都 是 用 selinux_config t 类 型 进行 标记 的 。 

semodule 和 semanage 命 令 管 理 策略 的 许多 方面 ，semodule 命 令 管 理 可 载 入 策略 模块 的 安装 、 
更 狐 和 移 除 ， 它 对 可 载 入 集 略 包 起 作用 ， 包 括 一 个 可 载 入 入 略 模 块 和 文件 上 下 文 消息 ，semanage 
工具 管理 添加 、 修 改 和 移 除 用 户 、 有 角色、 文件 上 下 文 、 多 层 安全 MLS) /多 范畴 安全 (MCS) 
转换 、 并 口 标 记 和 接口 标记 ， 关 于 这 些 工 具有 的 更 多 信息 在 它们 的 帮助 手册 中 。 

每 个 策略 子 目录 包括 的 文件 和 文件 如 何 标记 必须 遵守 一 个 规范 , 这 个 规范 被 许多 系统 实用 程 
序 使 用 ， 帮 助 省 理 策略 ， 通常， 任何 设计 优 民 的 打上 略 源 树 都 将 正确 安装 策略 文件 ， 下 面 是 targeted 
束 上 略 目 录 的 列表 输出 ， 它 就 是 一 个 典型 : 


# ls -12 /etc/selinux/targeted/ 
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如 上 所 示 ， 一 个 正在 运行 的 系统 不 需要 src/ 目 录 ， 它 包括 了 安 并 的 集 略 源 树 ， 要 么 是 示例 集 

略 ， 要 么 是 应 用 叶 略 源 树 ， 实 际 上 二 进 制 案 略 文件 存储 在 .policy/ 目 录 中 的 policy.[ver] 文 件 中 ， 这 
里 的 [ver] 就 是 策略 二 进 制 文件 的 版 本 号 ， 如 policy.19， 这 就 是 系统 启动 时 载 入 内 核 的 文件 。 


6.3.6 ”使 用 SELinux 的 准备 





1. SELinux 相关 的 安装 


虽然 在 有 的 Linux 发 行 套件 中 已 经 默认 安装 了 SELinux《〈 例 如 Fedora 10) ， 然 而 用 户 还 是 需要 
了 解 具 体 安装 SELinux 所 需要 的 安装 包 ， 下 面 对 其 进行 徐 要 介绍 。 主 要 包括 以 下 几 个 部 分 。 

»  Policycoreutils: 提供 与 SELinux 相关 的 命令 ， 比 如 semanage. restorecon. audit2allow. 
semodule, load policy， 以 及 setsebool 等 ， 来 操作 和 管理 SELinux. 

» ”Policycoreutils-gui: 提供 图 形 化 的 工具 system-config-selinux 来 管理 SELinux. 

a ”Selinux-policy: 提供 SeLinux MHRI. ZAH RREH TAH SELinux 策略 ， 并 作 
为 其 他 诸如 目标 策略 (targeted policy) 的 基础 使 用 。 

=  Selinux-policy-policy: 提供 SELinux 策略 。 对 于 目标 策略 ， 安 装 selinux-policy-targeted 
&8,, 对 于 MLS 策略 ， 则 安装 selinux-policy-mls 包 。 需要 说 明 的 是 : 在 Fedora 8 F, strict 
策略 与 目标 策略 结合 在 一 起 。 

» ”Setroubleshoot-server: 翻译 SELinux 拒绝 操作 信息 , 成 为 sealert 软件 可 以 查看 的 话 细 描 
述 信息 。 
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m ”Setools、setools-gui 和 setools-console: 这 些 安 闭 包 提 供 了 与 SELinux 有 关 的 策略 分 析 
和 检索 、 审 计 日 志 监 控 、 文 件 上 下 文 省 理 等 命令 和 工具。 


= ”Libselinux-utils: 提供 诸如 avsstat、getenforce、getsebool、matchpathcon、selinuxconlist、 








selinuxdefcon, selinuxenabled, setenforce, togglesebools 等 工具 。 
a  Mcstrans: 提供 对 SELinux 上 下 文中 级 别 〈 比 如 s0-s0:c0.c1023) 信息 的 翻译 工作 ， 在 
BA TUS PAFUND ER. 
2. 5 SELinux 有 关 的 日 志文 件 
SELinux 有 许多 相关 的 日 志文 件 来 记录 在 运行 过 程 中 对 操作 的 拒绝 日 志 ， 以 便 用 户 在 后 续 过 
程 中 进行 审计 评估 。 在 默认 情况 下 ，SELinux 将 拒绝 日 志 写 入 到 /var/log/audit/audit.log 文 件 中 。 访 
文件 的 部 分 内 容 显 示 如 下 : 
Ee = EG 0 20 MINCE 





























= 0 0 /oT Ne ee O 
='changing system time: exe-"/sbin/hwclock" (hostname=?, addr=?, terminal 
—console res-success)' 
ev = eddy sc 2i DM SE cms ere Ebo Grass (6102: A O Ge ILU ee. qblsxene jore 57210) 75. «bres b) Vektor 
qae ODER CD MSN SSmo I oO EOM 
-'op-PAM:authentication acct-2"root" exe-"/usr/sbin/userhelper" (hostname-?, 
addr-?, terminal-console res-success)' 

另外 ， 如 果 setroubleshooted 运 行 的 话 ， 在 /vavlog/audiVyauditlog 中 的 记录 将 被 翻译 成 容易 理解 

和 阅读 的 方式 ， 保 存在 /Var/log/messages 文 件 中 : 

Da A Wa a IER Ge O 





Mar TOE desc wee ccdsmmescesemonsed 9o Mm ee el A aemon ready 

Mondo Ww el Client connected Er 9 5B: 

Mar aq G24 sp Wl NeEwoOrkManade r: po Sue tam 

Eee 
Sue» Que LIP no el vEXOIS D das 9 1UZ Sable SEO dA 

Mar 4 06:24:37 wjl NetworkManager: «info» eth0: driver is 'pcnet32'. 

Mar 4 06:24:37 wjl NetworkManager: «info» Found new Ethernet device 'ethO0'. 

Mar 4 06:24:37 w] NetworkManager: «info» (eth0): exported as /org/ 
ipee cele edd ov isle. dolentes mene (0/0 e 2 SX OS ES c edo 

Mar OO A oT wW l NetworkManager: ~< Imro LrAg to Start the Suppl lhicank 

Mar 4 06:24:37 wjl NetworkManager: «info» Trying to start the system settings 
daemon.’ 

Ma 4 O00 2 Ow on el el a 
- 2008 Red Hat, Inc. To report bugs please use the NetworkManager mailing list. 

Mar 4 06:24:41 wjl kernel: eth0: link up 

当然 ， 拒 绝 信 息 被 送 到 不 同 的 地 方 ， 这 要 根据 不 同 的 守护 进程 而 定 ， 表 6-2 列 出 了 对 应 于 不 

同 的 守护 进程 的 日 忘 文件 的 路 任 。 
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统 局 动 时 目 动 运行 ， 可 以 root 映 份 运行 下 述 命令 : 
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表 6-2 SELinux 日 志文 件 列表 
守护 进程 日 志文 件 
auditd on /var/log/audit/audit.log 
Auditd off; rsyslogd on /var/log/messages 
Setroubleshootd, rsylogd, auditd on /var/log/audit/audit.log 翻译 后 存 入 /varvlog/messages 
为 了 启动 上 述 的 守护 进程 ， 需 要 分 别 配置 auditd、rsyslogd 以 及 setroubleshootd 来 使 它们 在 系 











Sr rl levels 2345 auditd on 

ies iore Chakor Jee lene acce o 

f/sbin/chkconfig levels 2345 setroubleshootd on 
并 且 可 以 使 用 以 下 命令 检查 这 些 守护 进程 是 否 正 常 运 行 : 


/SDINn/Service audite status 





#/sbin/service rsyslogd status 


eden. segnem setroubleshootd. stacus 


3. 启动 和 禁用 SELinux 


局 动 和 禁用 SELinux 的 步骤 非常 简单 ， 只 需要 修改 其 配置 文件 ， 然 后 执行 重启 即 可 。 

以 下 是 启动 SELinux 的 详细 步骤 。 

(1 ) 编辑 配置 文件 。 

根据 前 面 的 介绍 ， 编 辑 确定 SELinux 的 运行 模式 和 活动 策略 〈 见 下 面 配置 文件 中 的 黑体 部 分 ) 








BD uj: 


Tong esed nice coner olscexstbeot tn ok essi eme 
# SELINUX- can take one of these three values: 
NO CIE ONE OH cs el One CIS IC 
RETE" Scc ITI T ci Warning SUMI S aree f mte OA GUT TS 
t disabled - No SELinux policy is loaded. 
SELINUX-enforcing 
f SELINUXTYPE- can take one of these two values: 
t targeted - Targeted processes are protected. 
Tome le 
SELINUXTYPE-targeted 
(2) 使 用 getenforce 命 令 和 sestatus 命 令 查 看 SELinux 的 运行 模式 和 详细 上 下 文 信息 : 


t/usr/sbin/getenforce 


"bete d odbide ee 


(3) 使 用 root 用 户 喘 份 重 局 系统 即 可 : 


#reboot 


同 理 ， 禁 用 SELinux 的 详细 步骤 如 下 。 
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(1) 编辑 配置 文件 。 
根据 前 面 的 介绍 , 编辑 确定 SELinux 的 运行 模式 和 活动 策略 ( 见 下 面 配置 文件 中 的 黑体 部 分 ) 
BHH: 








eontro Oo eo le Or i Er on Che svstem. 
f SELINUX- can take one of these three values: 
本 
TEM e ene a I No eead O eo Te 
* disabled - No SELinux policy is loaded. 
SELINUX-diabled 
f SELINUXTYPE- can take one of these two values: 
t targeted - Targeted processes are protected. 
irem STEMS Pe ede C ELEA te OLE C ETON. 
SELINUXTYPE-targeted 

(2) 使 用 getenforce 命 令 和 sestatus 命 令 碍 看 SELinux 的 运行 模式 和 详细 上 下 文 信息 : 


t/usr/sbin/getenforce 


I o dbidb/ (SS e ESTIS 


(3) 使 用 root 用 户 喘 份 重 局 系统 即 可 : 


#reboot 

6.3.7 SELinux 中 布尔 ( boolean ) 变量 的 使 用 

在 SELinux 中 ,有 一 个 非常 重要 的 概念 称 为 布尔 变量 , 它 通 种 用 来 在 运行 时 改变 SELinux 的 部 
分 策略 ， 而 不 需要 重新 定义 和 改写 策略 文件 。 并 且 ， 这 些 布尔 变量 在 很 大 程度 上 也 与 许多 网 络 服 
务 的 访问 权限 相关 ， 比 如 对 网 络 文 件 系统 (NFS) 的 访问 、 对 FTP 的 访问 ， 等 等 。 

1. 列 出 和 查看 系统 布尔 变量 

通过 列 出 系统 中 的 布尔 变量 ， 可 以 知道 与 布尔 变量 相关 的 策略 的 开关 情况 (on 或 者 是 off 大 
态 ) ， 从 而 知道 相关 网 络 服务 的 访问 权限 状态 。 可 以 使 用 以 下 命令 进行 罗列 : 


# /usr/sbin/semanage boolean -1 


SELinux 全 尔 值 描述 























ie 9 meus oue cmm E. Allow ftp to read and write files in the user home 


directories 
s euge ER S -> X Allow xen to manage nfs files 
oue ST CONN eC uei ends -» X Allow xguest to configure Network Manager 
Spanmdesuscsmecdmme twee -= 
network. 
ol le ec el le EVO Pci le J et cube 
Ge eeem en cmm -> X Allow openvpn to read home directories 
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ea -> X Allow unconfined executables to make their 
heap memory executable. Doing this is a really bad idea. Probably indicates a 
adi coded executable Dut could indicate aN studies Tiswe»xecussbbhecsbeud 
be reported in bugzilla 

Lippe ll one et qe -> Ñ A Ow TP De ert lee tO 
Somnm oe 0 

lee E es -» X Allow ftp servers to login to local users 
and read/write all files on the system, governed by DAC. 

Erogo omi oM en -» X Allow samba to act as the domain controller, 


add users, groups and change passwords. 


Inpbocmer EN n -> X Allow httpd cgi support 

virt use nfs -» X Allow virt to manage nfs files 

ceo eise eas o sec eof -» JT Allow all daemons the ability to read/write 
terminals 








上 述 结果 中 的 SELinux boolean 列 列 出 了 系统 中 的 布尔 变量 名 称 ，Description 列 则 给 出 了 该 布 
尔 变 量 的 开关 状态 。 比 如 ， 以 下 的 布尔 变量 表示 的 意思 是 阻止 FTP 用 户 访 问 用 户 目 录 : 


nel 天 Allow ftp to read and write files in the user home 





directories 
以 下 命令 可 以 仅仅 给 出 布尔 变量 的 开关 状态 ， 而 不 给 出 它们 的 具体 摘 述 信息 : 


t/usr/sbin/getsebool -a 








sello (ome olkc Tomás aec OC 

e OWENCW cea cH ON PI 
eM oec miss CITING uec M O 
caeco ecu oc 
RE 

a MONTE Cheap SEE 
ts 

cite CONO EOS 
E ee e el c EDIDI 

el Ov le Ce Li a 
le oh ep TUM soc M 

s Be lo crm 
lOve el 区 
Me cc do e 

cule) we obedece eoe eius cce M REUE 
让 
suelto e el Toe qae Mog aetas Ok 
cede oS GT (o CHNECBIENE DUNS OXEUTT oe S Ode 


Sow EDS ccMDIEODnODULIM eM C OM 
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= 

= DNE qu Eme MS cO 

cu RT Te 

z Eo ln CE OH 
em On 

SE el el coe (orar 

= Ee ae .|e Hee Ne i oe oN cst Yan 


ONIRE CI Oleum O 

Ee E DEC e E Ue a E 
NE a a e a a a XOSEOE 
E aE Ko anoa e 


WE 


Ov cc cC Oe nip Im 
ee 

SE Co 

= Be eo ins E OMS 

Ow Te eI ee ll M OD 
APE ee a I E COTIE 
SE ST cca exDIMCTU NS EI 

ROW 人 


allow write xshm ——» off 
ed oWwExHMesRexcomeor Ee s ou. 
aM ow xservercexecmer 一 一 > on 


SH oW IINE OTt 


QUEUNT e OE MINCE I 
DEON nOD Mem coc eT 
Dronwger miite n te a 
record 3 en EENE o 
Sn 
Cl 
Ex 

Dic onm eom ccc OR 


INS OIN OT 
国人 

Ono exiens TE 
人 

i ll CON Ml 

bue De a Eo me QE 


Istud ocmoncbworbicerci co 
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并 且 ， 通 过 该 命令 可 以 查看 具体 的 布尔 变量 一 个 或 者 多 个 ) 的 开关 状态 信息 ， 如 下 所 示 ;: 


Ee eo I Cone oe ocun 


e ye flo ol om le oo we ee d SDN 

2. 配置 布尔 变量 

使 用 setsebool 命 令 可 以 设置 布尔 变量 (改变 其 开关 状态 ) 。 下 和 面 给 出 具体 的 例子 来 对 其 进行 
详细 介绍 。 访 例子 表明 如 何 来 对 httpd_can_network_connect db 布尔 变量 来 进行 状态 设置 ， 访 布尔 
变量 控制 httpd 服 务 堪 进程 能 侣 连接 后 台数 据 库 系统 。 

(12 使 用 getsebool 命 令 碍 看 该 布尔 变量 的 默认 状态 ， 表 明 访 变量 的 默认 状态 是 off， 即 不 允 
许 httpd 进 程 访问 后 问 数 据 库 服务 需 : 




















H E a E El oo i ee ne ne mi ls 
ha ec a Se ee I Eh 
(2) 使 用 setsebool 命 令 改变 该 布尔 变量 的 状态 ， 从 而 使 得 httpd 进 程 能 够 访问 数据 库 服 务 器 : 
Hl me la Ee ne nor nm e ie colo Tex 
改变 成 功 后 ， 可 以 继续 使 用 getsebool 命 人 进行 俘 看 : 
U ny ee cl ne oe nm ee 
(3) 上 述 状态 改变 只 是 暂时 性 的 ， 一 旦 系统 重 局 ， 该 变量 状态 将 改变 回 初 始 状态 ， 因 此 ， 
可 以 使 用 以 下 命令 永久 性 改变 状态 : 


| 














3. —# 5 NFS 和 CIFS 文件 系统 相关 的 布尔 变量 


对 于 大 多 效 网 络 服务 来 说 ， 各 种 网 络 服务 默认 情况 下 都 能 使 用 上 只 有 各 目的 服务 类型 的 文件 ， 
比如 NFS 服 务 可 以 使 用 nfs t 类 型 的 文件 ，samba 服 务 可 以 使 用 cifs t 类 型 的 文件 。 然 而 ， 由 于 NFS 
和 CIFS 这 两 个 共 圣 文件 系统 的 特殊 性 ，HTTP 服 务 和 FTP 服 务 孝 不 能 使 用 标记 这 两 个 文件 系统 类 
型 的 文件 ， 因 此 ， 在 实际 使 用 过 程 中 ， 用 户 需 要 对 控制 它们 的 布尔 变量 进行 显 式 的 状态 修改 ， 如 
下 所 示 。 

CD 对 于 Apache HTTP 服 务 器 。 

允许 访问 NFS 文 件 系统 ， 需 要 运行 以 下 命令 ， 修 改 布尔 变量 : 

Hl et lool ni 

允许 访问 Samba 文 件 系 统 ， 需 要 运行 以 下 命令 ， 修 改 布尔 变量 : 
a E e a Se le eR 

(2) 对 于 Samba 服 务 。 

允许 共 孚 NFS 文 件 系统 的 文件 ， 需 要 运行 以 下 命令 ， 修 改 布尔 变量 : 
t/usr/sbin/setsebool -P sambe share nfs on 

(3) 对 于 FTP 服 务 器 。 

允许 访问 NFS 文 件 系统 ， 需 要 运行 以 下 命令 ， 修 改 布尔 变量 : 
| 


允许 访问 Samba 文 件 系统 ， 需 要 运行 以 下 命令 ， 修 改 布尔 变量 : 
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i2) she on sencselsood. Ee el 
(40 对 于 其 他 服务 。 
可 以 使 用 以 下 命令 来 得 找 相关 的 布尔 变量 并 根据 上 述 的 例子 进行 同样 的 修改 即 可 。 
得 找 与 NFS 相 关 的 布尔 变量 : 




















#/usr/sbin/semanage boolean -1 | grep nfs 
AFRE Sambat KHAKE E: 
#/usr/sbin/semanage boolean -1 | grep cifs 
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H 


本 章 导 读 


企业 Web 服务 器 是 企业 非常 重要 的 “ 脸 
面 ”。 很 多 企业 都 通过 部 署 Web 服务 器 ， E 
用 Web Portal 来 向 客户 展现 企业 风采 和 和 开展 
线 上 业务 ， 作 为 世界 500 强 企 业 来 说 更 是 如 
此 。 如 何在 保证 安全 的 前 提 下 来 进行 企业 风 
采 展 现 和 线 上 业务 开展 ， 是 企业 需要 认真 考 
虑 和 权衡 的 事情 。 毕 竞 ， 一 旦 出 现 问题 ， 将 
会 给 企业 融 来 很 大 的 负面 影响 ， 影 响 客户 信 
任 度 和 对 企业 的 认可 度 。 因 此 ， 本 章 将 详细 
介绍 500 强 企 业 如 何 来 紧密 布控 ， 全 面 地 保 
证 开源 企业 Web 服务 器 运 维 安全 。 
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Web 安全 威胁 分 析 及 解决 思 


企业 Web 服 务 占 主要 面临 以 下 儿 种 安全 威胁 。 

= ”使 用 HTTP 协议 进行 的 拒绝 服务 攻击 : 攻击 者 会 通过 菏 些 手段 使 服务 需 拒 绝对 HTTP 
应 答 。 这 样 会 使 Web 服务 对 系统 资源 (CPU 时 间 和 内 存 ) 需求 巨 增 ， 造 成 系统 变 慢 其 
全 完全 次 次 ， 从 而 引起 HTTP 服务 的 中 断 或 者 合法 用 户 的 合法 请 求 得 不 到 及 时 的 啊 应 。 

a 被 攻击 者 获得 root 权限 ， 威 胁 系统 安全 : 由 于 开源 Web 服务 右 一 般 以 root 权限 运行 ， 
攻击 者 通过 它 获 得 root 权限， 进而 控制 整个 Web IRI ss Ae 

a 由 于 服务 磊 配 置 文件 设置 不 当 引 起 的 安全 问题 : 恶意 者 可 以 随意 下 载 、 修 改 或 删除 系 
统 文件 。 这 主要 涉及 到 对 访问 者 的 内 容 和 权限 的 限制 。 

= ”通信 安全 : 由 于 Web 服务 使 用 默认 的 HTTP 协议 进行 通信 ， 而 通信 的 内 容 均 采用 明文 
方式 ， 因 此 ， 客 户 与 企业 Web 服务 融 的 通信 流量 在 Internet 上 进行 传输 ， 其 重要 内 容 
2$ nJ Beds 5€ 0j WT UA 





























针对 上 和 面 几 种 安全 威胁 ， 本 章 将 根据 表 7-1 所 示 的 思路 来 进行 分 析 介 绍 。 
表 7-1 Web 防护 工作 思路 


主要 防护 手段 解决 的 主要 安全 威胁 安全 威胁 牵涉 到 的 人 员 及 操作 


避免 拒绝 服务 攻击 ， 因 配置 不 当 引 起 











Web 安全 配置 外 部 墨客 的 恶意 攻击 








的 安全 问题 
— "T 避免 企业 内 部 用 户 / 外 部 用 户 对 资源 | 外 部 黑客 以 及 内 部 用 户 的 越权 访 
Web 访问 控制 和 认证 uie 
的 越权 访问 问 
Wr 保证 企业 Web 服务 器 与 客户 的 通信 安 | 外 部 黑客 、 内 部 用 户 窃听 、 自 改 相 
SSL 安全 通信 MUN 
全 ， 防 止 敏 感 、 机 密 信息 泄露 关 重 要 通信 数据 
通过 对 企业 内 部 用 户 及 外 部 黑客 在 系 
日 志 管理 和 流量 分 析 统 中 运行 产生 相应 的 日 志 记录 进行 审 | A SEERA EEH 


计 ， 发 现 安全 问题 和 蛛丝马迹 忘记 录 


m " 从 架构 上 保证 Web 服务 的 运行 安全 ， "m" | 
其 他 网 络 架构 和 chroot 安全 并 减少 root 用 户 权限 对 Web 服务 操作 外 部 黑客 攻击 、root 用 户 在 Web 服 


措施 务 操作 方面 的 滥用 








Web 服务 器 选 型 


7.2.1 HTTP 基本 原理 


Web 服 务 占 也 称 为 WWW 服 务 右 或 HTTP 服 务 占 (HTTP Server) ， 它 是 Internet 上 最 弟 见 也 是 
使 用 最 频繁 的 服务 器 之 一 。Web 服 务 器 能 够 为 用 户 提 供 网 页 浏览 、 论 坛 访问 等 服务 。 比 如 ， 用 户 
在 使 用 浏览 器 访问 http:/www.sina.com 的 时 候 ， 实 际 上 束 古 在 访问 狐 浪 的 Web 服 务 右 ， 从 该 Web 
服务 器 获 取 需 要 的 论坛 资料 和 网 页 。 

一 个 Web 服 务 占 之 所 以 也 被 称 为 HTTP 服 务 右 ， 是 因为 它 通 过 HTTP 协 议 与 客户 病 通 信 。 这 个 
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客户 端 通常 指 的 是 Web 浏 览 器 。HTTP 是 一 种 让 Web 服 务 器 与 浏览 器 〈 客 户 端 ) 通过 Internet 发 送 
与 接收 数据 的 协议 。 它 是 一 个 请 求 、 啊 应 协议 : 客户 靖 发 出 一 个 请 求 , 服务 右 啊 应 这 个 请 求 。- HTTP 
运用 可 靠 的 TCP 连 接 ， 通 常用 的 TCP 为 80 端口 。 它 的 第 一 个 版 本 是 HTTP/0.9， 然 后 被 HTTP/1.0 
取代 。 妆 前 的 版 本 是 HTTP/1.1， 由 RFC2616 定义 “RFC 是 Request For Comment 的 缩写 ， 是 由 IETF 
管理 ， 所 有 关于 Intermet 的 正 陈 标准 都 以 文档 出 厂 ， 但 不 是 所 有 的 RFC 都 是 正 陈 的 标准 ， 很 多 REFC 
的 目的 只 是 为 了 提供 信息 。RFC 每 一 篇 都 用 一 个 数字 来 标识 《如 RFC2401) 数字 越 大 说 明 RFC 的 
内 容 越 狐 。 RFC 是 免费 公开 的 , 任何 人 都 可 以 写 RFC 并 提交 IETEF， 
一 旦 正式 通过 就 可 以 正式 发 布 ， 一 旦 发 布 RFC 内 容 将 不 能 再 作 任 
何 修改 ， 以 后 的 修改 只 能 通过 新 的 RFC 来 处 理 ， 因 此 可 以 看 到 有 
很 多 新 的 RFC 文 档 obsolete《〈 废 除 ) 或 update《〈 更 新 ) 老 的 RFC) 。 
在 HITP 中 , 客户 疹 总 是 通过 建立 一 个 连接 与 发 送 一 个 HTTP 
请 求 来 发 起 一 个 事务 。 服 务 器 不 能 主动 去 与 客户 冰 联 系 ， 也 不 能 
给 客户 闹 发 出 一 个 回 叫 连接 。 客 户 曾 与 服务 占 闹 都 可 以 提前 中 时 
一 个 连接 。 例 如 ， 当 用 一 个 浏览 颖 下 载 一 个 文件 时 ， 用 户 可 以 通 
过 单 击 “ 人 停止” 按钮 来 中 断 文件 的 下 载 ， 关 闭 与 服务 堪 的 HITP 
连接 。 
HTTP 协 议 的 工作 诛 理 主要 包括 以 下 四 个 步骤 (参见 网 7-1)。 
(1) 连接 :Web 浏览 右 与 Web 服 务 喜 建立 连接 ， 打 开 一 个 ”图 7-1 HTTP 基本 原理 示意 
称 为 socket《〈 和 肆 接 字 ) 的 虚拟 文件 ， 此 文件 的 建立 标志 看 连接 建 
NER o 
(20 请 求 : Web 浏 览 磊 通过 socket 加 Web 服 务 名 提交 请 求 。HTTP 的 请 求 一 般 是 GET 或 POST 
命令 〈POST 用 村 FORM 人 参数 的 传递 ) 。GET 命 令 的 格式 为 : GET 路 径 / 文 件 名 HTTP/1。 其 中 ， 
文件 名 指出 所 访问 的 文件 ，HTTP/1.0 指出 Web 浏 览 器 使 用 的 HTTP 版 本 。 
(3) AZ: Web 浏 览 器 提交 请 求 后 ， 通 过 HTTP 协 议 传送 给 Web 服 务 器 。Web 服 务 器 接收 到 
后 ， 进 行事 务 处 理 ， 处 理 结果 又 通过 HTTP 传 回 Web 浏 览 堪 ， 从 而 在 Web 浏 览 右 上 显示 出 所 请 求 
的 页 面 。 例如， 假设 客户 机 与 www.mycompany.com:8080/mydir/index.html 建 六 了 了 连接， 就 会 发 送 
GETM: GET /mydir/index.html HTTP/1.0。 主 机 名 为 www.mycompany.com 的 Web 服 务 器 从 它 的 
文档 空间 中 搜索 子 目 录 mydir 的 文件 index.html。 如 果 找 到 该 文件 ，Web 服 务 器 把 该 文件 内 容 传送 
给 相应 的 Web 浏 览 器 。 为 了 告知 Web 浏 览 器 传送 内 容 的 类 型 ，Web 服 务 器 首先 传送 一 些 HTTP 头 
言 息 ， 然 后 传送 具体 内 容 ( 即 HTTP 体 信息 ) ，HTTP 头 信息 和 HTTP 体 信息 之 间 用 一 个 空 行 分 开 。 
其 中 ， 常 用 的 HTTP 头 信息 如 下 。 
= HTTP 1.0200 Ok: 这 是 Web 服务 套 应 答 的 第 一 行 ， 列 出 服务 硕 正 在 运行 的 HITP 版 本 
号 和 应 答 代 码 。 代 码 “200 Ok” 表 示 请 求 完成 。 
a MIME Version:1.0: 它 指示 MIME 类 型 的 版 本 。 
» content type:2878; 这 个 头 信息 非常 重要 ， 它 指示 HTTP 体 信 息 的 MIME 类 型 。 如 
content type:text/html 指示 传送 的 数据 是 HTML 文档 。 
» content length: KZE: 它 指 示 HTTP 体 信 息 的 长 度 〈 字 和 他 ) 。 
(4) 关闭 连接 : 当 应 答 结 束 后 ，Web 浏 览 器 与 Web 服 务 器 必须 断 开 ， 以 保证 其 他 Web 浏 览 
器 能 够 与 Web 服 务 器 建立 连接 。 
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7.2. ”为何 选择 Apache 服务 器 


由 于 用 户 在 通过 Web 浏 览 器 访问 信息 资源 的 过 程 中 ,无须 再 关心 一 些 技术 性 的 细节 ， 而 且 界 
面 非 章 友 好 ， 因 而 Web 在 Internet 上 一 推出 瓯 得 到 了 邦 炸 性 的 友 展 。 现 在 Web 服 务 问 已 经 成 为 
Internet 上 最 大 的 计算 机 群 ，Web 文 档 之 多 、 连 接 的 网 络 之 广 ， 也 令 人 难以 想象 。 因 此 ，Web 服 务 
器 软件 的 数量 也 开始 增加 ，Web 服 务 器 软件 市 场 的 范 争 也 越 来 越 激 烈 。 本 章 要 介绍 的 束 是 一 球 最 
*i FH ITI W eb) 25-8 f F— — Apache. 

Netcraft 是 一 家 英国 的 互联 网 服务 公司 ， 提 供 互 联网 安全 服务 ， 以 及 对 互联 网 的 数据 进行 搜 
集 和 调查 研究 。Netcraft 近 日 公布 了 2010 年 2 月 份 的 全 球 Web 服 务 器 使 用 情况 调查 报告 。 此 次 调 
得 总 共 统 计 了 207 316 960 个 站 点 的 信息 。2 月 期 间 Apache 主 机 名 称 数 量 经 历 了 1600 万 的 增长 ， 
排 在 增长 趋势 的 第 一 位 。 增 长 第 二 位 的 是 微软 的 Web 服 务 器 ， 主 机 名 称 增长 数量 为 1100 万 。 如 
7-2 和 图 7-3 所 示 。 
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图 7-2 Netcraft 公司 提供 的 Web 服务 器 图 7-3 Netcraft 公司 提供 的 繁忙 度 前 100 万 位 站 点 的 
使 用 情况 统计 Web J]i 45-352) 48i E12 EG 

TEWebHl k ARARE, 美国 构 染 超级 计算 应 用 中 心 (NCSA) 在 1995 年 创建 了 当时 一 流 
的 Web 服 务 器 。 然 而 ，NCSA Web 服 务 需 的 主要 开发 人 员 后 来 几乎 同时 离开 了 NCSA， 使 得 这 个 
服务 器 项 目 停 顿 下 来 。 与 此 同时 ， 那 些 使 用 NCSA Web 服 务 器 的 人 们 开始 交换 他 们 用 于 该 服务 器 
的 补丁 程序 , 他 们 也 很 快 认识 到 处 理 管理 这 些 补丁 程序 的 论坛 的 重要 意义 。 束 这 样 , WEE T Apache 
Group。 这 一 团体 使 用 NCSA Web 服 务 右 的 代码， 创建 了 称 为 Apache 的 Web 服 务 右 软件 。Apache 
最 初 是 从 NCSA Web 服 务 器 内 核 代码 和 一 大 堆 补 丁 程序 中 衍生 出 来 的 。 经 过 短 短 的 儿 年 时 间 ， 
Apache 已 经 成 为 使 用 最 广泛 的 Web 服 务 厚 软件 ， 在 服务 需 市 场 中 占 绝 对 优势 。 

Apache 是 一 个 免费 的 软件 , 用 户 可 以 免费 从 Apache 的 官方 网 站 下 载 。 任何 人 都 可 以 参加 其 组 
成 部 分 的 开发 。Apache 人 允许 世界 各 地 的 人 对 其 提供 痢 特 性。 当 新 代码 提 区 到 Apache Group 后 ， 
Apache Group 对 其 具体 内 容 进 行 审查 、 测 试 和 质量 检查 。 如 果 他 们 满意 ， 该 代码 束 会 被 集成 到 
Apache 的 主要 及 行 版 本 中 。 

Apache 的 其 他 主要 特征 如 下 。 

s。 支持 最 新 的 HTTP. 协议 : 是 最 先 支 持 HTTPI.I 的 Web 服务 器 之 一 , 其 与 新 的 HTTP. 协议 

ERZ. EJ- HTTPI.0. HTTPI.1 HERRA. Apache 还 为 文 持 新 协议 做 好 了 ;准备 。 

» 简单 而 强大 的 基于 文件 的 配置 : 该 服务 器 没有 为 管理 员 提 供 图 形 用 户 界 面 ， 提 供 了 三 

个 简单 但 是 功能 弄 弟 强大 的 配置 文件 。 用 户 可 以 根据 需要 使 用 这 三 个 文件 随心 所 欲 地 
完成 目 己 希望 的 Apache 配置 。 
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文 持 通用 网 关 接 口 (CGI) : 采用 mod cgi 模块 支持 CGI. Apache 文 持 CGL1.1 标准 ， 
并 且 提 供 了 一 些 扩充 。 

文 持 虚拟 主机 : 是 首 批 既 文 持 IP 虚拟 主机 又 文 持 命 名 虚拟 主机 的 Web 服务 器 之 一 。 
xj HTTP 认证 : 文 持 基 于 Web 的 基本 认证 。 它 还 有 和 盟 文 持 基 于 消 居 摘要 的 认证 。 

内 部 集成 Perl: Perl 是 CGI 脚本 编程 的 事实 标准 。Apache 对 Perl 提供 了 民 好 的 文 持 ， 
通过 使 用 其 mod perl 模块 ， 还 可 以 将 Perl WAEA NE o 

集成 代理 服务 器 : 用 户 还 可 以 选择 Apache 作为 代理 服务 器 。 

LFF SSL: 由 于 版 本 法 和 美国 法 律 在 进出 口 方面 的 限制 ，Apache 本 喘 不 文 持 SSL。 但 
是 用 户 可 以 通过 安装 Apache 的 补丁 程序 集合 (Apache 一 SSL) 使 得 Apache 文 持 SSL. 
文 持 HTTP Cookie: 通过 文 持 Cookie， 可 以 对 用 户 浏 览 Web 站 点 进行 跟 踩 。 


安装 Apache 


























下 载 并 安 钱 Apache 的 最 新 版 本 ， 是 构建 安全 Web 服 务 的 开始 ， 因 为 最 新 的 版 本 总 是 在 原 有 老 
厂 本 的 基础 上 添加 并 完善 了 部 分 服务 右 性 能 和 服务 右 安 全 的 功能 。 丁 将 详细 介绍 Apache 的 获取 
和 安装 过 程 。 
Apache 的 RPM 软件 包 可 以 在 Red Hat Enterprise Linux 5 安装 光盘 上 找到 。 在 Red Hat Enterprise 
Linux 5 光盘 中 ， 其 文件 名 为 httpd-2.2.3-7.el$.rfpm， 执 行 以 下 命令 即 可 完成 Apache 的 安装 : 
dE In etc DUM OU c MSNTETSTH 
ApacheRPM 将 把 文件 安装 在 以 下 的 目录 中 。 

















Jetc/httpd/conf: 该 目录 包含 Apache 的 所 有 配置 文件 ， 包 括 access.conf、httpd.conf 和 
srm.conf。 参 阅 本 章 后 面 天 于 配置 文件 小 节 。 

Jetc/rc.d/: 位 于 该 目录 下 的 目录 树 包 含 系统 的 月 动 脚 本 。ApacheRPM 在 这 里 安装 了 Web 
服务 磺 的 整 依 脚本， 这 些 脚本 可 用 来 从 命令 行 局 动 或 停止 服务 器 ， 并 且 也 可 在 工作 站 
关闭 、 局 动 或 重新 引导 时 目 动 司 动 或 停止 服务 髓 。 

./home/httpd: RPM 在 该 目录 安装 默认 的 服务 器 图 标 、CGI 脚本 和 HTML 文件 。 如 果 想 
在 其 他 地 方 你 存 Web 内 容 ， 通 过 在 服务 器 的 配置 文件 适当 的 地 方 进行 更 改 可 以 实现 。 
.usrdoc 和 /usr/man: RPM 包含 手册 页 和 readme 文件 ， 它 们 被 放 在 这 些 目 录 中 。 像 大 
多 数 RPM 软件 包 一 样 ，readme 文件 以 及 其 他 相关 的 文档 放 在 /usr/doc 下 的 一 个 以 服务 
器 软件 包 的 版 本 命名 的 目录 中 。 

Jusr/sbin: 可 执行 程序 放 在 该 目录 中 。 包 括 服务 器 程序 本 身 ， 还 有 各 种 工具 ， 如 用 于 创 
建 验证 口令 文件 的 htpasswd 程序 。 

/var/log/http: 服务 器 日 志文 件 存放 于 该 目录 。 在 默认 情况 下 ， 有 两 个 日 志文 件 一 一 
access log 和 error log， 但 是 可 以 定义 任意 多 个 包含 各 种 信息 的 日 定义 日 志文 件 。 
























































安全 配置 Apache 服务 器 





在 安装 完 Apache 服 务 絮 后 ， 需 要 对 其 进行 正确 、 安 全 的 配置 。 一 般 来 说 ，Apache 服 务 器 有 如 
下 默认 的 重要 配置 信息 。 
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主 配 置 文件 : 一 般 位 于 /etc/httpd/conf/httpd.conf。 
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a RUHR: 一 般 位 于 /Var/www/html。 





a ”访问 日 志文 件 ， 一 般 位 于 /var/log/httpd/access_ log: 





" RHE F: 一 般 位 于 /var/log/httpd/error log. 

» — Apache 模块 : 存放 路 径 /usrVlib/httpd/modules。 

httpd.conf 文 件 是 Apache 的 主 配 置 文件 ， 其 中 包含 大 量 的 Apache 的 配置 选项 ， 而 这 些 选 项 设 
置 的 正确 与 否 都 在 很 大 程度 上 关系 到 Apache 服 务 器 的 安全 和 性 能 ， 因 此 ,用户 必须 对 它们 有 全 面 
和 深入 的 认识 和 和 擎 握 。 其 中 比较 第 用 的 配置 选项 如 表 7-2 Bro o 








表 7-2 httpd.conf 文件 中 的 主要 配置 参数 


ServerType 
serverRoot 

Port 

User 和 Group 
ServerAdmin 
ServerName 
DocumentRoot 
UserDir 
DirectoryIndex 
TimeOut 
MaxSpareServers 
StartServers 
MaxKeepAliveRequests 
KeepAlive 和 KeepAliveTimeout 
HostnameLookups 
BindAddress 
LimitRequestBody 
LimitRequestFields 
LimitRequestFieldSize 
LimitRequestLine 
MaxClients 


LogLevel warn 








Wü 明 

REAP standalone 和 inetd 
V EI A as H KAET ER fe 
TH XE M S 83611 TEMA in A 
设置 用 户 ID 和 组 ID 
设置 为 管理 服务 器 的 Web 管理 人 员 的 地 址 
设置 服务 器 将 返回 的 主机 名 
设置 为 文档 目录 树 的 绝对 路 径 
定义 和 本 地 用 户 的 主 目录 相对 的 目录 

利明 作为 目录 索引 的 文件 名 
设置 超时 时 间 
设置 Apache 的 最 大 空闲 进程 数 
指明 局 动 Apache 后 等 待 接受 请 求 的 空闲 子 进程 数量 
设置 每 个 连接 的 最 大 请 求 数 
设置 session 的 持续 时 间 
设置 Apache 对 客户 端 进行 域名 验证 
WE Apache 只 监听 在 特定 的 IP 地 址 
WE HTTP 请 求 的 消息 主体 的 大 小 
设置 HTTP 请 求 的 请 求 头 的 数目 
设置 HTTP 请 求 的 请 求 头 的 大 小 
设置 HTTP 请 求 的 请 求 行 的 大 小 
设置 Apache 的 最 大 连接 数 
设置 日 记 记 录 的 级 别 


















































httpd.conf 配 置 文件 主要 由 全 局 环境 (Section 1: Global Environment) 、 主 服务 右 配 置 (Section 





2: 'Main' server configuration) 和 虚拟 主机 (Section 3: Virtual Hosts) 三 个 部 分 组 成 。 每 部 分 都 有 
相应 的 配置 语句 ， 该 文件 所 有 配置 语句 的 语法 为 “配置 参数 名 称 参数 值 ” 的 形式 ， 如 下 上 所 未 : 











StartServers 8 
MinSpareServers 5 


MaxSpareServers 20 
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配置 语句 可 以 放 在 文件 中 的 任何 地 方 , 但 为 了 增强 文件 的 可 读 性 ， 最 好 将 配置 语句 放 在 相应 
的 部 分 。 

httpd.conf 中 每 行 包含 一 条 语句 ， 行 末 使 用 反 和 斜 枉 人 ”可 以 换行 ， 但 是 反 斜 杠 与 下 一 行 中 间 
不 能 有 任何 其 他 字符 (包括 空白 ) 。httpd.conf 的 配置 语句 除了 选项 的 参数 值 以 外 ， 所 有 选项 指令 
均 不 区 分 大 小 与 ， 可 以 在 每 一 行 前 用 “# ”号 表示 注释 。 

在 默认 的 httpd.conf 文 件 中 ,每 个 配置 语 铅 和 参数 都 有 详细 的 解释 ， 建 议 初学 的 用 户 在 不 玖 悉 
配置 方法 的 情况 下 ， 先 使 用 Apache 默 认 的 httpd.conf 文 件 作 为 模板 进行 修改 设置 ， 并 且 在 修改 之 六 
先 做 好 备份 ， 以 便 做 了 错误 的 修改 后 能 够 人 还原。 和 否则， 无 意识 地 删除 或 者 修改 某 些 选项 可 能 造成 
不 必要 的 Apache 服 务 器 的 安全 隐患 。 

下 和 面 详细 介绍 httpd.conf 文 件 中 常用 的 配置 参数 。 


1. ServerType 指令 


ServerType 指 令 指 示 服 务 占 的 类 型 。 服 务 器 有 两 种 类 型 : standalone 和 xinetd。 将 其 设置 为 
standalone 表 示 服 务 颖 局 动 一 个 服务 进程 时 刻 等 每 用 户 HTTP 请 求 ， 当 用 户 的 请 求 啊 应 后 该 进程 并 
ANE. Server Type 设置 为 xinetd 时 ， 对 于 任何 传 入 的 HITP 请 求 ， 产 生 一 个 新 的 服务 左 ， 该 服 
务 右 在 请 求 服务 完成 以 后 立即 消亡 。 这 可 能 在 测试 配置 更 改 方面 有 用 。 因 为 每 次 产生 一 个 狐 的 服 
务 九 时 都 要 重新 猴 载 配置 文件 。 当 然 该 操作 非常 慢 ， 因 为 对 于 每 个 请 求 都 有 服务 器 局 动 的 开销 。 

2. ServerRoot 指令 

该 指令 用 来 设置 服务 器 目录 的 绝对 路 径 , 其 通知 服务 器 到 哪个 位 置 人 查找 所 有 的 资源 和 配置 文 
件 。 在 配置 文件 中 所 指定 的 资源 ， 有 许多 是 相对 于 ServerRoot 目 杂 的 。 如 果 从 RPM 安 装 ， 则 
ServerRoot 指 令 设 置 为 /etc/httpd， 如 果 从 源 代 公安 装 则 为 /usr/local/apache。 

































































3. Port 指令 

该 指令 指定 服务 器 运行 在 哪个 端口 上 。 默 认为 80， 这 是 标准 的 HTTP 端 口号 。 用 户 在 茶 些 特 
定 情 况 下 可 能 会 让 服务 器 运行 在 另外 的 端口 上 , 例如 当 用 户 想 要 运行 一 个 测试 服务 器 而 不 希望 其 
他 人 知道 时 ， 这 时 候 可 以 指定 服务 器 侦 听 非 80 端口 ， 有 些 版 本 则 用 Listen 指 令 完成 该 配置 。 修 改 
httpd.conf 里 面 关于 Listen 的 选项 ， 例 如 : 

Listen 8000 指令 就 是 使 Apache 监 听 8000 端口 。 而 如 果 要 同时 指定 监听 端口 和 监听 地 址 ， 可 
以 使 用 : 


Ba = AR a ll 

















Listen 159,223.49,182:8000 
这 样 就 使 得 Apache 同 时 监听 在 159.223.49.181 的 80 端口 和 159.223.49.182 的 8000 端口 。 
值得 注意 的 是 : 虽然 可 以 使 用 Listen 指 令 为 Apache 服 务 器 任意 指定 监听 端口 。 然 而 ， 建 议 用 
户 不 要 随便 指定 1024 以 上 的 奖 口 ， 因 为 现在 许多 企业 防火 场 对 1024 以 上 的 端口 都 不 开放 (为 了 
防止 森马、 非常 程序 等 ) ， 所 以 为 了 避免 Apache 服 务 也 被 错误 “封杀 ”， 建 议 用 户 在 设置 前 咨询 
网 络 管理 员 ， 确 定好 端口 。 
4. User 和 Group 指令 


这 两 个 指令 用 来 设置 用 户 ID 和 组 ID, 服务 硕 将 使 用 它们 来 处 理 请 求 。 通 币 保 留 这 两 个 设置 的 
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默认 值 : nobody 和 nogroup， 并 日 分 别 在 对 应 的 /etc/passwd 和 和 /etc/group 文 件 中 验证 它们 。 如 果 想 使 
用 其 他 的 UID 或 GID， 可 以 对 上 默认 设置 进行 修改 ， 但 是 要 知道 ， 服 务 右 将 以 在 这 里 定义 的 用 户 和 
组 的 权限 开始 运行 。 这 表明 ， 假 如 有 一 个 安全 性 的 漏洞 ， 不 管 是 在 服务 顺 上 ， 还 是 在 目 己 的 CGI 
程序 中 ， 这 些 程序 都 将 以 指定 的 UID 运 行 。 如 果 服 务 占 以 root 或 其 他 一 些 具有 特权 的 用 户 的 喘 份 
运行 ,那么 某 些 人 束 可 以 利用 这 些 安 全 性 的 漏洞 对 站 点 做 一 些 危 险 的 操作 。 除 了 使 用 名 衬 来 指定 
User 和 Group 指 令 外 ， 还 可 以 使 用 UID 和 和 GID 编写 来 指定 它们 。 如 果 使 用 编写， 一定 要 人 确保 所 指定 
的 编号 与 想 要 指定 的 用 户 号 和 组 号 一 致 ， 并 且 要 在 编号 前 面 加 上 符号 “#”。 

5. ServerAdmin 指令 

该 指令 议 置 为 管理 服务 器 的 Web 管 理 人 员 的 地 址 ， 且 应 该 是 一 个 有 效 的 E-mail 地 址 或 别名 ， 
如 webmaster@yourserver.com。 把 这 一 值 设 置 为 一 个 有 效 的 地 址 十 分 重要 ， 因 为 当 服 务 器 出 现 问 
题 时 ， 这 一 地 址 将 被 返回 给 访问 者 。 



































6. ServerName 指令 


该 指令 用 来 设置 服务 器 将 返回 的 主机 名 ， 其 应 该 被 设置 为 一 个 完全 限定 的 域名 。 例 如 ， 将 其 
设置 为 www.yourserver.com 而 不 是 简单 的 www。 如 果 服 务 堪 通过 Internet 访 问 而 不 是 仅仅 在 局 域 网 
中 访问 ， 该 设置 尤为 重要 。 实 际 上 无 须 设置 该 值 ， 除 非 需要 返回 的 不 是 该 计算 机 的 规范 名 字 。 如 
果 不 设 置 该 值 ， 服 务 器 将 自行 判定 这 一 名 字 并 把 它 设置 为 服务 器 的 规范 名 字 。 但 是 ， 用 户 知 想 让 
服务 器 返回 比较 友好 、 易 记 的 地 址 〈 例 如 www.your.domain) ， 就 需要 对 该 指令 进行 设 定 。 但 是 
不 管 怎样 ，ServerName 应 该 是 网 络 的 一 个 真正 的 域名 系统 DNS) WAZ. nC EEEH g 
己 的 DNS， 则 记 住 需要 为 主机 添加 一 个 别名 。 


























7. DocumentRoot 指令 

该 指令 设置 为 文档 目录 树 的 绝对 路 径 , 该 路 径 是 Apache 提 供 文件 的 顶级 目录 。 在 默认 情况 下 ， 
它 被 设置 为 homehttpdhtml; 如 果 是 用 户 目 己 构 千代 人 码 ， 它 设置 为 /usr/local/apache/htdocs。 例 如 ， 
如 果 设 置 DocumentRoot 为 /webpage/main， 那 么 当 访 问 http://localhost/index.html 时 实际 就 是 访问 
/webpage/main 目 录 下 的 index.html 文 件 。 

8. UserDir 指令 

该 指令 定义 和 本 地 用 户 的 主 目录 相对 的 目录 ， 可 以 将 公共 的 HTML 文 档 放 入 该 目 录 中 。 说 是 
相对 目录 是 因为 每 个 用 户 有 目 己 的 HITML 目录。 该 指令 默认 设置 为 public_ html。 因 此 ， 每 个 用 户 
在 自己 的 主 目录 下 都 能 够 创建 称 为 public html 的 目录 ， 在 该 目录 下 的 HIML 文 档 可 以 通过 
http://servername/~username 访 问 。 这 里 username 是 特定 用 户 的 名 称 。 


























9. Directorylndex 指令 


该 指令 指明 作为 目录 索引 的 文件 名 ， 例 如 ， 当 请 求 的 URL 为 http:/www.server.conyDirectory/ 
时 ， 指 明 哪 个 文件 作为 目录 的 索引 。 通 单 在 这 里 放 入 许多 文件 非常 有 用 ， 这 样 当 index.html〈 默 认 
PED 找 不 到 时 ， 可 以 使 用 另 一 个 文件 奉 换 。 访 指令 最 有 用 的 应 用 是 在 目录 中 有 一 个 CGI 程序 运 
行 ， 作 为 默认 的 动作 。 在 这 种 情况 下 ， 访 指令 类 似 于 DirectoryIndexindex.htmlindex.cgi。 
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10. TimeOut 指令 


该 指令 在 httpd.conf 文 件 里 可 设置 网 络 超时 时 间 ， 其 命令 格式 为 TimeOutn。 其 中 n 为 整数 ， 单 
位 是 秒 。 该 指令 的 设置 一 般 需 要 通过 用 户 经 验 来 设 定 : 设 定 超 时 过 短 ， 可 能 使 用 户 的 体验 大 打折 
扣 ， 影 响 服 务 质 量 ;而 设 定 超时 过 长 ， 则 会 使 Apache 服 务 器 维护 过 大 的 “ 僵 死 ”服务 队列 ， 从 而 
影响 性 能 。 

















11. MaxSpareServers 指令 
该 指令 设置 Apache 的 最 大 空闲 进程 数 。 命 令 格式 如 下 : 
MaxSpareServers 30 

上 述 指令 表明 : 当空 闲 进程 超过 30 个 的 时 候 ，Apache 主 进程 会 杀 掉 多 余 的 空 闻 进程 而 保持 
空闲 进程 为 30 个 以 节省 系统 资源 。 非 常 繁忙 的 站 点 调节 这 个 参数 才 是 必要 的 ， 但 是 在 任何 时 候 
把 这 个 参数 调 到 很 大 都 不 是 一 个 好 办 法 。 同 时 也 可 以 设置 类 似 参数 MinSpareServers 来 限制 最 少 空 
闲 进 程 数 目 来 加 快 反 应 速度 。 

12. StartServers 指令 


该 指令 指明 局 动 Apache 后 等 行 接 受 请 求 的 空间 子 进程 数量 。 























4^ 


13. MaxKeepAliveRequests 指令 

该 指令 设置 每 个 连接 的 最 大 请 求 数 。 用 法 如 下 : MaxKeepAliveRequests 100 这 样 就 能 保证 在 
一 个 连接 中 ， 如 采 同 时 请 求 数 达到 100 瓯 不 再 啊 应 这 个 连接 的 新 请 求 ， 保 证 了 系统 资源 不 会 家 菏 
个 连接 大 量 占用 。 但 是 在 实际 配置 中 要 求 尽量 把 这 个 数值 调 高 来 获得 较 高 的 系统 性 能 。 

14. KeepAlive 和 KeepAliveTimeout 指令 

该 指令 设置 session 的 持续 时 间 ， 例 如 以 下 两 个 设置 : 


KeepAlive on 

















KeepAliveTimeout 15 
这 样 束 能 限制 每 个 session 的 保持 时 则 是 15 秒 。session 的 使 用 可 以 使 得 很 多 请 求 都 可 以 通过 
同一 个 TCP 连 接 来 发送 ， 市 约 了 网 络 资源 和 系统 资源 。 


15. HostnameLookups 指令 

该 指令 设置 Apache 对 客户 问 进 行 域名 验证 。 可 以 设置 on、off 或 double。 如 末 使 用 on， 那 么 只 
进行 一 次 反 碍 ; 如 果 使 用 double， 那 么 进行 反 碍 之 后 还 要 进行 一 次 正 加 解析， 只 有 两 次 的 结果 互 
相符 合 才 行 ， 而 off 哆 是 不 进行 域名 验证 。 如 条 为 了 安全 ， 建 议 使 用 double; 为 了 加 快 访问 速度 ， 
建议 使 用 off。 

16. BindAddress 指令 


该 指令 设置 Apache 只 在 特定 的 下地 址 监听 ， 从 而 上 只 啊 应 特定 下 地 址 的 HITP 请 求 。 








17. LimitRequestBody 指令 


该 指令 设置 HTTP 请 求 的 消息 主体 的 大 小 ， 单 位 为 季节 。CGI 脚 本 一 般 把 表单 里 面 的 内 容 作 
为 消息 的 主体 提交 给 服务 吉 处 理 ， 所 以 现在 消息 主体 的 大 小 在 使 用 CGI 的 时 候 很 有 用 。 例 如 使 用 
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CGI 来 上 传 文件 时 ， 如 果 有 如 下 设置 : LimitRequestBody 102400， 那 么 上 传 文件 超过 100KB 的 时 
候 束 会 报错 。 合 理 设置 该 指令 可 以 有 效 地 降低 遭受 拒绝 服务 攻击 的 风险 。 

18. LimitRequestFields 指令 

该 指令 设置 HITP 请 求 的 请 求 头 的 数目 。 合 理 设 置 该 指令 同样 可 以 有 效 地 降低 遭受 拒绝 服务 
攻击 的 风险 。 

19. LimitRequestFieldSize 和 LimitRequestLine 指令 

这 两 个 指令 分 别 用 来 设置 HTTP 请 求 的 请 求 涉 的 大 小 和 HTTP 请 求 的 请 求 行 的 大 小 。 合理 设 置 
这 两 个 指令 可 以 帮助 用 户 有 效 地 降低 Apache 服 务 器 遭受 绥 冲 区 洲 出 攻击 的 危险 。 

20. MaxClients 指令 

该 指令 设置 Apache 的 最 大 连接 数 。 该 指令 可 以 根据 具体 的 Apache 服 务 右 的 服务 容量 来 进行 设 
定 。 一 般 情 况 下 不 家 设置 得 过 大 ， 可 以 比较 好 地 预防 拒绝 服务 攻击 。 因 为 将 该 指令 的 值 设置 得 过 
K, ERWA P Um xEBRD S A pachellk 29-5568 $4 10] 151] c 
































21. LogLevel warn 指令 





该 指令 指定 记录 的 详细 等 级 ， 有 8 个 等 级 : debug. info. notice. warn. error. crit, alert4il 
emerg。 按 从 详细 到 俐 略 排列 。 我 们 将 会 在 本 章 的 7.8 市 进行 详细 介绍 。 


Web 服务 访问 控制 


7.4.1 访问 控制 常用 配置 指令 


1. 配置 指令 


Apache 实 现 访问 控制 的 配置 指令 包括 以 下 三 种 。 

(1) order 指 令 。 用 于 指定 执行 允许 访问 控制 规则 或 者 拒绝 访问 控制 规则 的 顺序 。order 只 能 
设置 为 Order allow,deny， 或 Order deny,allow， 分 别 用 来 表明 用 户 先 设置 允许 的 访问 地 址 还 是 先 设 
置 茜 止 访问 的 地 址 。Order 选 项 用 于 定义 默认 的 访问 权限 与 Allow 和 Deny 语 名 的 处 理 顺 序 。Allow 
和 Deny 语 句 可 以 针对 客户 机 的 域名 或 IP 地 址 进行 设置 ,以 决定 哪些 客户 机 能 够 访问 服务 器 。Order 
语句 设置 的 两 种 值 的 具体 含义 如 下 。 

a allow, deny: 默认 禁止 所 有 客户 机 的 访问 ， 且 Allow 语句 在 Deny 语句 之 前 被 匹配 。 如 
果 某 条 件 既 匹配 Deny 语句 又 匹配 Allow 语句 ， 则 Deny 语句 会 起 作用 (因为 Deny i& 
名 覆盖 了 Allow 语句 ) 。 

a deny, allow: 默认 人 允许 所 有 客户 机 的 访问 ， 且 Deny 语句 在 Allow 语句 之 前 被 匹配 。 如 
果菜 条 件 既 匹配 Deny 语句 又 匹配 Allow 语句 ， 则 Allow 语句 会 起 作用 (| 因为 Allow 语 
AJia m J Deny 语句 ) 。 

(2) allow 指 令 。 指 明 人 允许 访问 的 地 址 或 地 址 序列 。 如 allow from all 指 令 表明 允许 所 有 IP 来 
的 访问 请 求 。 
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(3) deny 指 令 。 指 明 禁 I 上 访问 的 地 址 或 地 址 序列 。 如 deny from all 指 令 表 明 禁 止 所 有 JP 来 的 
访问 请 求 。 

2. 应 用 实例 

下 面 举 儿 个 简单 的 例子 对 上 述 order、allow 和 deny 命 令 的 使 用 进行 示范 。 

(1) 在 下 面 的 例子 中 ，admin.org 域 中 所 有 主机 都 允许 访问 网 站 ， 而 其 他 非 该 域 中 的 任何 主 


机 访问 都 被 拒绝 ， 因 为 Deny 在 前 ，Allow 在 后 ，Allow 语 名 覆盖 了 Deny 语 句 ; 
Order Deny,Allow 








Deny from all 
| 
(2) 下 面 的 例子 中 ，admin.org 域 中 所 有 主机 ， 除 了 db.admin.org 子 域 包含 的 主机 被 拒 绝 访问 
以 外 ， 都 允许 访问 。 而 所 有 不 在 admin.org 域 中 的 主机 都 不 允许 访问 ， 因 为 默认 状态 是 拒绝 对 服务 
器 的 访问 CAllowfEBI, DenyfE/H. Denyi&fhJfgis f Allowi&H]) : 
Order Allow,Deny 
ZO OD Ea one acres Oo 


Peny Trom oy 


7.4.2 使 用 .htaccess 文件 进行 访问 控制 


任何 出 现在 配置 文件 httpd.conf 中 的 指令 都 可 能 出 现在 .htaccess 文 件 中 。 访 文件 在 httpd.conf 文 
件 的 AccessFileName 指 令 中 指定 ， 用 于 进行 针对 单一 目录 的 配置 〈 注 意 : 该 文件 也 只 能 设置 对 目 
孙 的 访问 控制 ) 。 作 为 系统 管理 员 , 可 以 指定 该 文件 的 名 学 和 通过 该 文件 内 容 黎 兰 的 服务 器 配置 。 
当 站 点 有 多 组 内 容 提 供 者 并 希望 控制 这 些 用 户 对 其 空间 的 操作 时 访 指 令 非 党 有 用 。 
值得 特别 注意 的 是 : 除了 可 以 使 用 .htaccess 文 件 针对 单一 目录 进行 访问 控制 配置 外 ， 访 文件 
还 可 以 在 不 重 狐 局 动 Apache 服 务 占 的 前 提 下 使 配置 生效 ， 因 而 使 用 起 来 非 沼 方便 。 
使 用 该 文件 进行 访问 控制 ， 需 要 经 过 以 下 两 个 必要 的 步 又。 
1) 在 主 配置 文件 httpd.conf 中 局 用 并 欣 制 对 .htaccess 文 件 的 使 用 。 
(2) 在 需要 和 窗 蓄 主 配置 文件 的 目录 下 (也 就 是 需要 单独 设 定 访问 控制 权限 的 目录 ) ^E 
成 .htaccess 文 件 ， 并 对 其 进行 编辑 ， 设 置 访问 控制 权限 。 


1. 启用 并 控制 对 .htaccess 文件 的 使 用 


司 用 并 控制 对 .htaccess 文 件 的 使 用 ， 首 先 需 要 使 用 AccessFileName 参 数 在 主 配置 文件 中 配置 
以 下 配置 语句 |: 


AccessFileName .htaccess 
























































caeco SUC 
Order allow,deny 
Dep sb pompa 


</EFLles> 


2. 在 .htaccess 文件 中 使 用 指令 进行 控制 
要 限制 .htaccess 文 件 能 够 覆盖 的 内 容 ， 需 要 使 用 AllowOverride 指 令 。 访 指令 可 以 进行 全 局 设 
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置 或 者 单个 目录 设置 。 要 配置 可 以 默认 使 用 的 选项 ， 需 要 使 用 Options 指 令 。 例 如 ， 在 httpd.conf 
文件 中 ， 可 以 采用 上 述 指令 建立 的 对 /Var/www/icons 目 录 的 访问 控制 权限 的 清单 ， 如 下 所 示 : 
«Directory "/var/www/icons"» 
Options Indexes MultiViews 
AllowOverride None 
Order allow,deny 
Allow from all 
ADIECIT 
以 下 为 各 种 指令 的 使 用 介绍 。 
(1) AllowOverrides 指 令 。 
AllowOverrides 指 令 指定 .htaccess 文 件 可 以 履 兰 的 选项 。 可 以 对 每 个 目录 进行 议 置 。 例 如 ， 可 
以 对 主要 文档 root 利 UserDir 目 录 的 窗 新 有 不 同 的 标准 。 该 功能 对 于 用 户 目 录 特 别 有 用 ， 在 这 些 目 
录 中 用 户 没 有 访问 主 服务 絮 配 置 文件 的 权限 。 
AllowOverrides u] EL i Er 7j All. None, 或 者 Option、FileInfo、AuthConfig、Indexes 以 及 Limit 
选项 的 组 合 。 这 些 选 项 含义 如 下 。 
a Options: 文件 可 以 为 该 目录 添加 没有 在 Options 指令 中 列 出 的 选项 。 
a ”FileInfo: .htaccess 文件 包含 修改 文档 类 型 信息 的 指令 。 
= — AuthConfig: .htaccess 文件 可 能 包含 验证 指令 。 
= Limit: .htaccess 文件 可 能 包含 allow. deny. order 指令 。 
a Indexes: 控制 目录 列表 方式 。 
a ”None: 禁止 处 理 .htaccess 文件 。 
a Al: 表示 读 取 以 上 所 有 指令 的 内 容 。 
(2) Options 指 令 
Options PJ 以 为 None、Al， 或 者 任何 Indexes、Includes 、FollowSymLinks 、ExecCGI 以 及 
MultiViews 的 组 合 。MultiViews 不 包含 在 All 中 ， 必 须 显 式 指定 。 这 些 选项 解释 如 下 。 
" None: 该 目录 没有 局 用 任何 可 用 的 选项 。 
= Al: 该 目录 局 用 了 所 有 选项 ， 除 了 MultiViews。 
= ”Jndexes: 当 Index.html 文件 或 者 另 一 个 DirectoryIndex 文件 不 存在 时 ， 目 录 中 的 文件 列 
表 将 作为 HTML 页 产生 ， 显 示 给 用 户 。 
» ”Includes: 该 目录 允许 服务 器 侧 包含 《SSI) 。 如 果 人 允许 包含 但 是 不 允许 在 包含 中 有 exec 
选项 ， 则 可 以 写 为 IncludesNoExec。 基 于 安全 的 原因 ， 对 于 没有 完全 控制 权限 的 目录 ， 
如 UserDir 目录 ， 访 选项 是 一 个 很 好 的 主意 。 
» FollowSymLinks: 允许 访问 符号 链接 到 文档 目录 的 目录 。 这 种 方法 不 太 好 ,不 能 将 整个 
服务 器 全 部 设置 为 该 选项 。 对 茶 个 目录 可 以 这 样 设 置 ， 但 是 在 仅 当 有 足够 的 理由 时 了 才 
这 样 设 置 。 该 选项 是 一 个 潜在 的 安全 隐患 ， 因 为 允许 Web 用 户 跳 出 文档 目录 以 外 ， 并 
且 可 能 潜在 地 允许 用 户 访 问 文 件 系 统 的 分 区 ， 而 这 些 地 方 是 不 布 望 其 他 人 访问 的 。 
s ”ExecCGI: 即使 该 目录 不 是 ScriptAlias 的 目录 ， 也 在 其 中 允许 CGI 程序 。 
a  MultiViews: 该 选项 是 mod_negotiation 模块 的 一 部 分 。 当 客户 请 求 的 文档 没有 找到 时 ， 
服务 器 试图 计算 最 适合 客户 请 求 的 文档 。 
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3. 使 用 .htaccess 文件 实例 


下 面 以 一 个 简单 的 例子 来 示范 如 何 使 用 .htaccess 文 件 。 
(1) 在 Apache 服 务 右 的 文档 根 目录 下 生成 一 个 测试 目录 ， 并 创建 训 试 文件 ， 使 用 以 下 命令 
BI uf: 
tcd /var/www/html 
fmkdir rhel5 
tcd rhel5 
touch rhel5.a 
touch rhelo. b 
(2) f£ Apachell t 28 HJ] 3: Bo EE fp, WIA PB: 
Dirree oue We OO die 6) o 
AllowOverride Options 
/De 
(3) 在 生成 的 测试 目录 /var/www/html/rhel5 下 生成 .htaccess 文 件 ， 并 添加 以 下 语句 : 
Options -Indexes 
(4) xir s ApacheJl os zs BI nJ,. nf UA EJERNE .htaccess C fF gif H3 J^ I ELTE FR] 29) h 
Vi asi CT. MEEA Joi va. uud 7-A 和 图 7-5 所 示 。 另 外 ， 信 得 注意 的 是 : 这 
里 的 重启 Apache 服 务 器 是 因为 步骤 (2) 中 对 主 配置 文件 进行 了 修改 ， 而 不 是 因为 修改 了 了 .htaccess 
文件 ， 因 为 前 面 提 到 过 ，.htaccess 文 件 的 配置 修改 并 不 需要 重新 局 动 Apache 服 务 壤 。 





















































O 应 用 程序 “位置 ”系统 e BS Q) € 应 用 程序 GS 系统 e 1547 Q) 
Mozilla Firefox -x 403 Forbidden - Mozilla Firefox 
XEO 编辑 入 EEV RIO HIO IRO 帮助 妙 HO AEO EEV RIO HEO IRO 帮助 H 
-3-3 FÀ [O nttp.i192.168.10.29/retS/rhel5.a || Osa |, | «€-»-8 FÀ | nttpi192.168.10.29/retS/rhelS.a || Osa |, 
RedHat Red Hat Magazine MiRedHatNetwork MilRea Hat Support RedHat Red Hat Magazine MiRedHatNetwork MilRed Hat Support 
Nolexeieloleieioietoroleiointomieiotetow Hello, welcome to Red Hat Enterprise Linux 5 *eeeceoeeeooer 
Forbidden 


Y ou don't have permission to access /rhel5/ on this server. 


Apache/2.2.3 (Red Hat) Server at 192.168.10.29 Port 80 

















完成 完成 
| | E [rootGlocalhost:/var/www/html/rhel5] | @ Mozilla Firefox | | | (9 | 使 | | 3 [root@localhost:/var/www/html] || @ 403 Forbidden - Mozilla Firefox i 9 
图 7-4 未 使 用 访问 控制 前 访问 目录 的 情况 示意 图 7-5 使 用 访问 控制 后 访问 目录 的 情况 示意 


使 用 认证 和 授权 保护 Apache 


7.5.1 认证 和 授权 指令 

用 户 认证 在 网 络 安全 中 是 非常 重要 的 技术 之 一 , 它 是 保护 网 络 系统 资源 的 第 一 道 防线 。 用户 
认证 控制 着 所 有 登录 并 检查 访问 用 户 的 合法 性 , 其 目标 是 仅 让 合法 用 户 以 合法 的 权限 访问 网 络 系 
统 的 资源 。 当 用 户 第 一 次 访问 了 启用 用 户 认证 目录 下 的 任何 文件 ， 浏 览 器 会 显示 一 个 对 话 框 ， 要 
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求 输 入 正确 的 登录 用 户 名 和 口令 进行 用 户 喘 份 的 确认 。 奉 是 合法 用 户 , 则 显示 所 访问 的 文件 内 容 。 

此 后 访问 该 目录 的 每 个 文件 时 ,浏览 器 会 目 动 送出 用 户 名 和 密码 ， 不 用 再 输入 了 ， 直 到 关闭 浏览 

器 为 止 。 用 户 认 证 功能 起 到 了 一 个 屏障 的 作用 ， 限 制 非 授 权 用 户 非 法 访问 一 些 私有 有 的 内 容 。 
目前 ， 有 两 种 常见 的 认证 类 型 : 基本 认证 和 摘要 认证 。 

(1) 基本 认证 (Basic) : 使 用 最 基本 的 用 望 名 和 密码 方式 进行 用 户 认 证 。 

(2) 摘要 认证 (Digest) : 该 认证 方式 比 基 本 认证 要 安全 得 多 ， 在 认证 过 程 中 额外 使 用 了 一 
个 针对 客户 问 的 挑战 Challenge) 信息 ， 可 以 有 效 地 避免 基本 认证 方式 可 能 过 到 的 “和 草 磅 攻击 ”。 
值得 注意 的 是 : 目前 并 非 所 有 的 浏览 桌 都 支 持 摘 要 认证 方式 。 

所 有 的 认证 配置 指令 既 可 以 出 现在 主 配置 文件 httpd.conf 中 的 Directory 容 需 中 , 也 可 以 出 现在 
单独 的 .htaccess 文 件 中 ， 这 个 可 以 由 用 户 灵 活 地 选择 使 用 。 在 认证 配置 过 程 中 ， 需 要 用 到 以 下 指 
令 选 项 。 

a — AuthName: 用 于 定义 受 保护 区 域 的 名 称 。 

a — AuthType: 用 于 指定 使 用 的 认证 方式 ， 包 括 上 和 面 所 述 的 Basic 和 Digest 两 种 方式 。 

» ”AuthGroupFile: 用 于 指定 认证 组 文件 的 位 置 。 

» — AuthUserFile: 用 户 指 定 认证 口令 文件 的 位 置 。 

使 用 上 述 的 认证 指令 配置 认证 之 后 , 需要 为 Apache 服 务 妖 的 访问 对 和 象 ,， 也 束 是 指定 的 用 户 和 
组 进行 相应 的 授权 ， 以 便于 他 们 对 Apache 服 务 器 提供 的 目录 和 文件 进行 访问 。 为 用 户 和 组 进行 授 
权 和 需要 使 用 Require 指 令 ， 它 主要 可 以 使 用 以 下 三 种 方式 进行 授权 。 

a ”授权 给 指定 的 一 个 或 者 多 个 用 户 : 使 用 Require user 用 户 名 1 工 用 户 名 2…。 

a ”授权 给 指定 的 一 个 或 者 多 个 组 : 使 用 Require group 用 户 名 1 工 用 户 名 2…。 

a ”授权 给 指定 口令 文件 中 的 所 有 用 户 : 使 用 Require valid-user。 


7.5.2 ”管理 认证 口令 文件 和 认证 组 文件 


要 实现 用 户 认证 功能 ， 首 先 要 建立 保存 用 户 名 和 口令 的 文件 。Apache 目 市 的 htpasswd 命 令 提 
供 了 建立 和 更 狐 存 储 用 户 名 、 和 密码 的 文本 文件 的 功能 。 需 要 注意 的 是 ， 这 个 文件 必须 存放 在 不 能 
被 网 络 访问 的 位 置 ， 以 避免 被 下 载 和 信息 泄露 。 建 议 将 口令 文件 存放 在 /etc/httpd/ 目 录 或 者 其 子 目 
K Fo 
下 和 面 的 例子 在 /etc/httpd 目 录 下 创建 一 个 文件 名 为 passwd auth 的 口令 文件 ， 并 将 用 户 rhels 添 
加 到 认证 口令 文件 。 使 用 以 下 命令 建立 口令 文件 (过 程 中 还 会 提示 输入 该 用 户 的 口令 ) : 
# touch passwd auth 








































































































à htpasswd -c /etc/httpd/passwd auth rhel5 
New password: 
Re-type new password: 
Adding password for user rhel5 
命令 执行 的 过 程 中 系统 会 要 求 用 户 为 rhels 用 户 输入 密码 。 上 述 命令 中 的 -c 选 项 表示 无 论 口 令 
文件 是 否 已 经 存在 ， 郑 会 重新 写 入 文件 并 删 去 原 有 内 容 。 所 以 在 添加 第 2 个 用 户 到 口令 文件 时 ， 
就 不 需要 使 用 -c 选 项 了 ， 如 下 命令 所 不: 


人 





人 一 
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7.5.3 


认证 和 授权 使 用 实例 


1. 使 用 主 配置 文件 配置 用 户 认 证 及 授权 


在 本 例子 中 ， 有 用户 可 以 在 Apache 的 主 配置 文件 httpd.conf 中 加 入 以 下 语句 建立 对 目录 
/var/www/html/rhel5 访问 的 用 户 认证 和 授权 机 制 |: 


«Directory "/var/www/html/rhel5"» 


AllowOverride None 


AuthType Basic 


AuthName "rhel5" 


AuthUserFile /etc/httpd/passwd auth 


Require user rhelb5 liyang 
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AllowOverride: 该 选项 定义 了 不 使 用 .htaccess 文件 。 

AuthType Basic: AuthType 选项 定义 了 对 用 户 实 施 认证 的 类 型 , 最 音 用 的 是 由 mod auth 
提供 的 Basic。 

AuthName: 定义 了 Web 浏览 器 显示 输入 用 户 / 密 码 对 话 框 时 的 领域 内 容 。 

AuthUserFile: 定义 了 口令 文件 的 路 径 ， 即 使 用 htpasswd 建立 的 口令 文件 。 

Require user: 定义 了 允许 哪些 用 户 访 问 ， 各 用 户 之 间 用 空格 分 开 。 











需要 注意 的 是 : 在 AuthUserFile 选 项 定义 中 , 还 需要 使 用 以 下 语句 事先 建立 认证 用 户 patterson 
和 liyang， 该 选项 中 的 定义 才能 生效 : 


ee 0 re I eo a el |e 


Hh /etc/httpd/passwd auth liyang 


2. 使 用 .htaccess 文件 配置 用 户 认 证 和 授权 
在 本 例子 中 ， 为 了 完成 如 上 述 例子 同样 的 功能 ， 需 要 先 在 主 配置 文件 中 加 入 以 下 语句 : 


«Directory "/var/www/html/rhel5"» 





AllowOverride AuthConfig 


e AN DECIES 
上 述 语句 中 的 AllowOverride 选 项 允许 在 .htaccess 文 件 中 使 用 认证 和 授权 指令 。 


然后 ， 在 .htaccess 文 件 中 添加 以 下 语句 即 可 : 
AuthType Basic 








AuthName "Please Login:" 


AuthUserFile /etc/httpd/passwd auth 


Require user rhel5 liyang 
同 理 , 在 AuthUserFile 选 项 定义 中 , 还 需要 使 用 以 下 语句 事先 建立 认证 用 户 patterson 和 1liyang， 
该 选项 中 的 定义 才能 生效 : 


ai 





thtpasswd /etc/httpd/passwd auth liyang 
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使 用 Apache 中 的 安全 模块 


7.6.1 Apache 服务 器 中 安全 相关 模块 


Apache 的 一 个 优势 便 是 其 灵活 的 模块 结构 ， 其 设计 思想 也 是 围绕 模块 (module) 概念 而 展开 
的 。 安 全 模块 是 Apache Server 中 极其 重要 的 组 成 部 分 。 这 些 安 全 模块 负责 提供 Apache server 的 访 
问 控 制 和 认证 、 授 权 等 一 系列 全 关 重 要 的 安全 服务 。 
Apache 有 以 下 儿 类 与 安全 相关 的 模块 。 
= mod access 模块 能 够 根据 访问 者 的 IP 地 址 (或 域名 ， 主 机 名 等 ) 来 控制 对 Apache 服 
务 器 的 访问 ， 称 之 为 基于 主机 的 访问 控制 。 
a mod auth 模块 用 来 控制 用 户 和 组 的 认证 授权 (Authentication〉。 用 户 名 和 口令 存放 于 
纯 文本 文件 中 。 
= mod auth db 和 mod auth. dbm 模块 则 分 别 将 用 户 信息 (如 名 称 、 组 属 和 口令 等 ) 存放 
T Berkeley-DB 及 DBM 型 的 小 型 数据 库 中 ， 便 于 管理 及 提高 应 用 效 座 。 
= mod auth digest 模块 则 采用 MD5 数字 签名 的 方式 来 进行 用 户 的 认证 , 但 它 相 应 的 需要 


























客户 端的 文 持 。 
= mod auth anon 模块 的 功能 和 mod auth 的 功能 类 似 ， 只 是 它 允 许 匿 名 登录 ， 将 用 户 输 
入 的 E-mail 地 址 作为 口令 。 


= mod ssl 被 Apache 用 于 文 持 安全 套 接 学 层 协 议 ， 提 供 Internet 上 安全 交易 服务 ， 如 电子 
商务 中 的 一 项 安全 措施 。 通 过 对 通信 子 节 流 的 加 密 来 防止 敏感 信息 的 泄露 。 但 是 ， 
Apache 的 这 种 支持 是 建立 在 对 Apache 的 API 扩展 来 实现 的 , 相当 于 一 个 外 部 模块 , 通 
过 与 第 三 方程 序 〈 如 openssl) 的 结合 提供 安全 的 网 上 交易 文 持 。 
7.6.2 ”开局 安全 模块 
为 了 能 够 使 用 模块 功能 ， 模 块 通常 以 DSO (Dynamic Shared Object) 的 方式 构建 ， 用 户 应 该 
在 httpd.conf 文 件 中 使 用 LoadModule 指 令 ， 使 得 能 够 在 使 用 新 获 得 模块 的 功能 。 以 下 为 主 配 置 文件 
中 各 个 模块 的 情况 ， 开 局 安全 模块 非常 简单 ， 即 去 掉 在 各 安全 模块 所 在 行 亲 的 “#” 符 号 即 可 ， 
如 下 所 示 : 


ee le en 




















rol de en oe OD el Te bores n S9 
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LoadModule authn anon module modules/mod authn anon.so 
LoadModule authn dbm module modules/mod authn dbm.so 
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LoadModule authz owner module modules/mod authz owner.so 
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LoadModule authz dbm module modules/mod authz dbm.so 
oan Ce el nibo cimo em Sram crm ZI TECHNO 
LoadModule ldap module modules/mod ldap.so 

se RN 
Tell er ela ane ree ne ial re eile .ee ed el XS 
四 
Ircococum cognosce mocdulc sa oclogmo o 

LoadModule env module modules/mod env.so 
IN ne u e os EHE o 
IEocdModudceomameemecesneemodint'eomodutes/modemimesmagmeesso 
Poccolus cogens Mou demo indc Same Me Nm ISO 
ibyeyevebttexelittdbes oer Lene antexeladbes acxotoulie sv wol cte Tene ce 
le 和 We we 和 hehe se s mode cd eo 
IO 

Hoc lutexelbrdbs. sensns c mestiere exe bes exo Sete aba ea 
Ioco dme nam nn s mosemmee so 

LoadModule dav module modules/mod dav.so 
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Te 
Boero ctd ea amie c armes tbe: woo hodie were aci eC ero. 

Hoc Skeci ole cnim os re occ T Ee 
wd 
au 
LoadModule dir module modules/mod dir.so 
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boc Ve centire MOULE COVE O ee ee 
LoadModule proxy module modules/mod proxy.so 
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使 用 SSL 保证 Web 通信 安全 








Apache 服 务 占 与 客户 器 的 通信 和 是 明文 方式 ， 很 多 通过 HTTP 协 议 传 送 数 据 的 应 用 将 受到 黑客 
的 威胁 ， 信 息 的 安全 性 难以 得 到 保障 。 因 此 ， 本 节 就 将 对 在 Linux 中 ， 使 用 SSL 拉 术 保 扩 Apache 
服务 融通 信 作 详细 介绍 


7.7.1 SSL 简介 


通常 的 连接 方式 中 ,通信 和 是 以 非 加 密 的 形式 在 网 络 上 传播 的 ， 这 束 有 可 能 被 非 法 急 昕 到， 万 
其 是 用 于 认证 的 口令 信息 。 为 了 避免 这 个 安全 汤 润 ， 束 必须 对 传输 过 程 进行 加 密 。 对 HTTP 传 输 
进行 加 密 的 协议 为 HTTPS， 它 是 通过 SSL 进 行 HTTP 传 输 的 协议 ， 不 但 通过 公用 密 钥 的 算法 进行 
加 密 保 证 传输 的 安全 性 ， 而 且 还 可 以 通过 获得 认证 证 书 CA， 保 证 客户 连接 的 服务 器 没有 被 假 骨 

SSL 是 一 种 国际 标 
准 的 加 密 及 喘 份 认证 通 Mera si 
信 协 议 , 用 户 采 用 的 浏览 


器 就 支持 此 协议 。SSL 
o Protocol " pi : . 
(Secure Sockets Layer) ! etc... Application 





















































Layer 
i SSL Record L 
最 初 是 由 美国 Netscape 公 L Record Layer 
司 研究 出 来 的 , 后 来 成 为 和 
通信 ayer 
了 Intermet 网 上 安全 通信 OM. erre 
Internet 
与 交易 的 标准 (参见 图 ieme 


nest: c 
双方 的 客户 证 书 以 及 CA 
根 证 书 ， 人 允许 客户 /服务 图 7-6 SSL 工作 层次 示意 图 
器 应 用 以 一 种 不 能 被 偷 
ME 在 通信 双方 间 建 立 起 了 一 条 安全 的 、 可 信任 的 通信 通道 。 它 具备 以 下 基本 特征 : 
县 保密 性 、 信 息 完 整 性 、 相 互 鉴定 。 
该 协议 主要 使 用 Hash 编 码 、 加 密 技 术 ， 下 和 面 对 这 些 技术 进行 简要 介绍 。 
(1) Hash 编 码 是 使 用 Hash( 散 列 ) 算法 从 任 晶 长 度 的 消息 中 计算 Hash 值 的 一 个 过 程 ，Hash 
值 可 以 说 是 消 县 的 指纹 ， 或 者 说 是 摘要 。 因 为 对 于 任何 不 同 的 消 县 ， 儿 乎 总 有 不 同 的 Hash 值 ， 如 
果 有 冲突 的 话 ， 可 以 采用 开 链 法 等 方法 来 进行 避免 。 因 此 在 SSL 通 信 过 程 中 ， 可 以 对 消息 的 Hash 
值 进行 加 和 窗 ， 人 确保 传递 的 消 轧 在 传输 过 程 中 没有 人 锌 修改 。 
(2) 非 对 称 加 密 或 称 乙 为 公 钥 加 黎 使 用 数学 上 相关 的 两 个 数值 来 对 信息 进行 编码 〈 加 冤 ) ， 
其 中 一 个 数字 称 为 公 铀 ， 另 一 个 称 为 私 铀 。 公 钥 加 警 的 信息 可 以 用 私 钥 解密 ， 私 钥 加 密 的 信息 可 
以 用 公 角 解密。 由 于 公 钥 可 以 大 面积 发 放 ， 因 此 公 钥 加 密 在 SSL 加 密 通 信 中 应 用 于 对 密 钥 的 加 密 
或 者 进行 数字 签名 。 
对 称 加 和 密 和 非 对 称 加 密 相 比 的 区 列 在 于 对 称 加 密 中 ， 加 蜜 信 息 和 解密 信息 使 用 同样 的 密 银 ， 
因此 该 密 钥 无 法 公开 ， 并 且 一 旦 知道 其 密码 ， 则 该 加 密 完全 失效 ， 但 是 其 其 有 加 密 和 人 解密 快速 、 
方便 的 特点 。 
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7.7.2 Apache 中 运用 SSL 的 基本 原理 


1. 公 钥 体制 


加 蜜 和 解密 使 用 同一 个 密 钥 的 算法 ， 称 为 对 称 加 窒 算 法 ;加密 和 解密 使 用 的 是 不 同 的 密 钠 ， 
称 为 非 对 称 加 密 算 法 ， 公 钥 系 统 即 属于 非 对 称 加 密 算法 。 对 于 对 称 加 密 而 言 ， 需 要 痢 重 保护 的 是 
对 称 密 钥 ， 对 于 公 钥 算法 而 言 ， 需 要 看 重 保护 的 是 私 钥 。 

公 钥 加 蜜 算 法 ， 以 及 衍生 出 的 数字 签名 、 数 罕 证 书 技术 ， 不 仅 广 泛 应 用 于 Internet 通 信 中 ， 例 
如 HITPS 协 议 中 的 SSLATLS， 在 单机 系统 中 也 越 来 越 受 到 重视 ， 例 如 Windows XP 的 设备 驱动 程 
序 、.NET 的 GAC assembly 都 要 求 数字 签名 。 微 软 从 Windows 98/NT4 起 即 提供 了 Cryptograph API, 
支持 DES、RC2、RC4、IDEA 等 对 称 加 密 算法 和 RSA 公 钥 系统 等 非 对 称 加 密 算法 , 以 及 MD5、SHA、 
MAC 等 摘要 (Digest, WEKA Hash, HU SEXE. 

RSA 公 钥 加 密 在 计算 机 产业 中 被 广泛 使 用 在 认证 和 加 密 。 可 以 从 RSA Data Security Inc. 获 得 
RSA 公 钥 加 密 许可 证 。 公 钥 加 车 是 使 用 一 对 非 对 称 的 密码 加 答 或 解 黎 的 方法 。 每 一 对 密码 由 公 铀 
和 私 钥 组 成 。 公 钥 被 广泛 及 布 ， 私 钥 是 隐 密 的 ， 不 公开 。 用 公 钥 加 冤 的 数据 只 能 够 航 私 钥 解 蜜 。 
反 过 来 ， 使 用 私 钥 加 密 的 数据 只 能 用 公 钥 解 黎 。 这 个 非 对 称 的 特性 使 得 公 钥 加 黎 很 有 用 。 

2. 数字 证 书简 介 

数字 证 书 就 是 互联 网 通信 中 标志 通信 各 方 号 份 信息 的 一 系列 数据 ， 提 供 了 一 种 在 Internet 
上 验证 您 喘 份 的 方式 ， 其 作用 类 似 于 司机 的 驾驶 执照 或 日 弟 生 活 中 的 号 份 证 。 它 是 一 个 由 权威 
机 构 CA 机 构 ， 又 称 为 证 书 授 权 (Certificate Authority? 中 心 发 行 的 ， 人 们 可 以 在 网 上 用 它 来 
识别 对 方 的 号 份 。 数 字 证 书 是 一 个 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 钥 拥有 者 信息 以 及 公开 
密 钥 的 文件 。 最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 一 般 情 况 下 
证 书 中 还 包括 密 钥 的 有 效 时 间 、 发 证 机 关 《 证 书 授 权 中 心 ) 的 名 称 、 该 证 书 的 序列 号 等 信息 ， 证 
书 的 格式 遵循 ITUT X.509 国际 标准 。 数 学 证 书 可 以 应 用 于 互联 网 上 的 电子 商务 活动 和 电子 政务 活 
动 ， 其 应 用 范围 涉及 需要 身份 认证 及 数据 安全 的 各 个 行业 ， 包 括 传统 的 商业 、 制 造 业 、 流 通 业 的 
网 上 交易 ， 以 及 公共 事业 、 人 金融 服务 业 、 工 商 税 务 、 海 天、 政府 行政 办 公 、 教 育 科 研 单 位 、 你 险 、 
医疗 等 网 上 作业 系统 。 

一 个 标准 的 X.509 数字 证 书包 含 以 下 一 些 内 容 。 

» ”证 书 的 版 本 信息 。 

a 证 书 的 序列 号 ， 每 个 证 书 都 有 一 个 唯一 的 证 书 序 列 号 。 

a 证书 所 使 用 的 签名 算法 。 

a 证书 的 发 行 机 构 名 称 ， 命 名 规则 一 般 采 用 X.500 格式 。 

= ”证 书 的 有 效 期 , 现在 通用 的 证 书 一 般 采 用 UTC 时 间 格 式 , 它 的 计时 范围 为 1950 一 2049。 

a ”证 书 所 有 人 的 名 称 ， 命 名 规则 一 般 采 用 X.500 格式 。 

an ”证 书 所 有 人 的 公开 密 钥 。 

a ”证 书 友 行者 对 证 书 的 签名 。 

3. 数字 证 书 的 基本 功能 

基于 Internet 的 电子 商务 系统 技术 使 在 网 上 购物 的 顾客 能 够 极其 方便 、 轻 松 地 获得 商家 和 企业 
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的 信息 ， 但 同时 也 增加 了 对 某 些 敏感 或 有 价值 的 数据 被 滥用 的 风险 。 买 方 和 卖方 必须 对 于 在 
Intermnet 上 进行 的 一 切 金 融 交 易 运 作 都 是 真实 可 靠 的 ， 并且 要 使 顾客 、 商 家 和 企业 等 交易 各 方 都 具 
有 绝对 的 信心 ， 因 而 因特网 (Internet〉 电 子 了 商务 系统 必须 保证 具有 十 分 可 靠 的 安全 保密 搁 术 ， 也 
就 是 说 ， 必 须 保 证 网 络 安全 的 四 大 要 素 ， 即 信息 传输 的 保密 性 、 数 据 交 换 的 完整 性 、 发 送信 息 的 
不 可 否认 性 、 交 易 者 喘 份 的 确定 性 。 

1) 信息 的 保密 性 

交易 中 的 商务 信息 均 有 保密 的 要 求 。 如 信用 卡 的 账号 和 用 户 名 被 人 知悉 ， 束 可 能 被 盗用 ， 订 
货 和 付 球 的 信息 被 竞争 对 手 获 悉 ， 就 可 能 形 失 商 机 。 因 此 在 电子 商务 的 信息 传播 中 一 般 均 有 加 密 
的 要 求 。 

2) 交易 者 身份 的 确定 性 

网 上 交易 的 双方 很 可 能 素 昧 平生 ， 相 隔 千里 。 要 使 交易 成 功 ， 首 先 要 能 确认 对 方 的 身份 ， 对 
商家 要 考虑 客户 端 不 能 是 驴子 ， 而 客户 也 会 担心 网 上 的 商店 是 否 是 一 个 玩弄 欺诈 的 黑店 。 因 此 能 
方便 而 可 靠 地 确认 对 方 喘 份 是 交易 的 前 提 。 对 于 为 顾客 或 用 户 开 展 服务 的 银行 、 信 用 卡 公 司 和 销 
售 商店 ， 为 了 做 到 安全 、 保 密 、 可 靠 地 开展 服务 活动 ， 都 要 进行 号 份 认 证 的 工作 。 对 有 关 的 销售 
商店 来 说 ， 他 们 对 顾客 所 用 的 信用 卡 的 号 码 是 不 知道 的 ， 商 店 只 能 把 信用 卡 的 确认 工作 完全 交 给 
银行 来 完成 。 银 行 和 信用 卡 公司 可 以 采用 各 种 保密 与 识别 方法 ,确认 顾客 的 映 份 是 否 合法 ， 同 时 
还 要 防止 发 生 拒 付款 问题 以 及 确认 订货 和 订货 收据 信息 等 。 

3) 不 可 否认 性 

由 于 商情 的 千变万化 ,交易 一 旦 达成 是 不 能 被 否认 的 。 人 否则 必然 会 损害 一 方 的 利益 。 例 如 订 
购 黄 金 ， 订 货 时 金价 较 低 ， 但 收 到 订单 后 ， 金 价 上 涨 了 ， 如 收 单方 否认 受到 订单 的 实际 时 间 ， 甚 
至 否认 收 到 订单 的 事实 ， 则 订货 方 就 会 蒙受 损失 。 因 此 电子 交易 通信 过 程 的 各 个 环节 都 必须 是 不 
可 否认 的 。 

4) 不 可 修改 性 

交易 的 文件 是 不 可 被 修改 的 ， 如 上 例 所 举 的 订购 黄金 。 供 货 单 位 在 收 到 订单 后 ， 发 现金 价 大 
幅 上 涨 了 ， 如 其 能 改动 文件 内 容 ， 将 订购 数 1 吨 改 为 1 克 ， 则 可 大 幅 受 益 ， 那 么 订货 单位 可 能 就 
会 因此 而 蒙受 损失 。 因 此 电子 交易 文件 也 要 能 做 到 不 可 修改 ， 以 保障 交易 的 严肃 和 公正 。 


4. 数字 证 书 的 原理 


人 们 在 感叹 电子 商务 的 巨大 潜力 的 同时 , 不 得 不 冷 痢 地 思考 ,在 人 与 人 互 不 见面 的 计算 机 互 
联网 上 进行 交易 和 作业 时 ， 怎 样 才 能 保证 交易 的 公正 性 和 安全 性 ， 保 证 交易 双方 吴 份 的 真实 性 。 
国际 上 已 经 有 比较 成 熟 的 安全 解决 方案 ， 那 丈 是 建立 安全 证 书 体系 结构 。 数 子安 全 证 书 提供 了 一 
种 在 网 上 验证 映 份 的 方式 。 安 全 证 书 体制 主要 玉 用 了 公开 密 钥 体 制 ， 其 他 还 包括 对 称 密 钥 加 密 、 
数 子 签 名 、 数 子 信 封 等 技术 。 

我 们 可 以 使 用 数字 证 书 , 通过 运用 对 称 和 非 对 称 密码 体制 等 密码 技术 建立 起 一 套 严 蜜 的 号 份 
认证 系统 ， 从 而 你 证 : 信息 除 发 送 方 和 接收 方 外 不 被 其 他 人 魏 取 ; 信息 在 传输 过 程 中 不 个 仁 改 ; 
发 送 方 能 够 通过 数 子 证 书 来 确认 接收 方 的 号 份 ， 发 送 方 对 于 目 己 的 信息 不 能 抵赖 。 

数字 证 书 采用 公 钥 体制 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 目 己 设 定 一 
个 特定 的 仅 为 本 人 所 知 的 私有 密 铀 〈 私 铀 ) ， 用 它 进 行 解密 和 签名 ;同时 设 定 一 个 公共 密 铀 《〈 公 
钥 ) 并 由 本 人 公开 ， 为 一 组 用 尸 所 共 圣 ， 用 于 加 密 和 验证 签名 。 当 疏 这 一 份 保密 文件 时 ， 发 送 方 
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使 用 接收 方 的 公 钥 对 数据 加 密 ， 而 接收 方 则 使 用 目 己 的 私 钥 解 密 ， 这 样 信息 束 可 以 安全 无 误 地 到 
达 目 的 地 了 。 通 过 数字 的 手段 保证 加 密 过 程 是 一 个 不 可 逆 过 程 ， 即 只 有 用 私有 密 铀 才能 解密 。 在 
公开 密 钥 密码 体制 中 , 利用 的 一 种 是 RSA 体 制 。 其 数学 原理 是 将 一 个 大 数 分 解 成 两 个 质数 的 乘积 ， 
加 密 和 解密 用 的 古 两 个 不 同 的 密 钥 。 即 使 已 知 明文 、 密 文 和 加 密 密 钥 (公开 密 钥 〉 ， 想 要 推导 出 
解密 密 钥 (私密 密 钥 ) ,在 计算 上 是 不 可 能 的 。 按 现在 的 计算 机 技术 水 平 , 要 破解 目前 采用 的 1024 
位 RSA 密 铀 ， 需 要 上 千年 的 计算 时 间 。 公 开 密 钥 技 术 解 决 了 密 钥 发布 的 管理 问题 ， 商 户 可 以 公开 
其 公开 密 铀 ， 而 保留 其 私有 密 铀 。 购 物 者 可 以 用 人 人 和 缘 知 的 公开 密 钥 对 发 送 的 信息 进行 加 密 ， 安 
全 地 传送 给 商户 ， 然 后 由 商户 用 目 己 的 私有 密 钥 进行 解密 。 

用 户 也 可 以 采用 上 利己 的 私 钥 对 信息 加 以 处 理 ， 由 于 密 钥 仅 为 本 人 所 有 ， 这样 就 产生 了 别人 无 
法 生成 的 文件 ， 也 就 形成 了 数字 签名 。 采 用 数字 签名 ， 能 够 确认 以 下 两 点 。 

(1) 你 证 信息 是 由 签名 者 目 己 签名 上 友 送 的 ， 签 名 者 不 能 个 认 或 难以 售 认 。 

(2) 保证 信息 目 签 发 后 到 收 到 为 止 未 曾 作 过 任何 修改 ， 签 发 的 文件 是 真实 文件 。 

数字 签名 的 具体 做 法 如 下 。 

(1) 将 报 文 按 双 方 约定 的 HASH 算 法 计算 得 到 一 个 固定 位 数 的 报 文摘 要 。 在 数学 上 保证 : 
只 要 改动 报 文中 任何 一 位 ， 重新 计算 出 的 报 文摘 要 值 束 会 与 原先 的 值 不 相符 。 这 样 就 保证 了 报 文 
的 不 可 更 改 性 。 

(2) 将 该 报 文 摘要 值 用 友 送 者 的 私人 密 钥 加 密 ， 然 后 连同 原 报 文 一 起 友 送 给 接收 者 ， 而 产 
生 的 报 文 即 称 数 子 签 名 。 

(3) 接收 方 收 到 数字 签名 后 ， 用 同样 的 Hash 复 法 对 报 文 计算 摘要 值 ， 然 后 与 用 发 送 者 的 公 
开 密 钥 进 行 解密 解 开 的 报 文 摘要 值 相 比较 。 如 相等 则 说 明报 文 确实 来 自 所 称 的 发 送 者 。 


5. 证 书 授权 中 心 


CA 机 构 ， 又 称 为 证 书 授权 CCertificate Authority) 中 心 ， 作 为 电子 商务 交易 中 受信 任 的 第 三 
方 ， 承 担 公 钥 体 系 中 公 钥 的 合法 性 检验 的 责任 。CA 中 心 为 每 个 使 用 公开 密 钥 的 用 户 发 放 一 个 数 
学 证 书 ， 数 字 证 书 的 作用 是 证 明证 书 中 列 出 的 用 户 合法 拥有 证 书 中 列 出 的 公开 黎 铀 。CA 机 构 的 
数字 签名 使 得 攻击 者 不 能 伪造 和 算 改 证 书 。 它 负责 产生 、 分 配 并 管理 所 有 参与 网 上 交易 的 个 体 所 
需 的 数字 证 书 ， 因 此 是 安全 电子 交易 的 核心 环节 。 

由 此 可 见 ， 建 设 证 书 授权 〈CA) 中 心 ， 是 开拓 和 规范 电子 商务 市 场 必 不 可 少 的 一 步 。 为 保 
证 用 户 之 间 在 网 上 传递 信息 的 安全 性 、 真 实 性 、 可 靠 性 、 完 整 性 和 不 可 抵赖 性 ， 不 仅 需要 对 用 户 
的 号 份 真实 性 进行 验证 ， 也 需要 有 一 个 具有 权威 性 、 公 正 性 、 唯 一 性 的 机 构 ， 负 责问 电子 商务 的 
各 个 主体 颁发 并 管理 符合 国内 、 国 际 安全 电子 交易 协议 标准 的 电子 商务 安全 证 书 。 

6. Apache 中 的 SSL 原理 


在 SSL 通 信 中 ， 首 先 采 用 非 对 称 加 密 交 换 信息 ， 使 得 服务 器 获得 浏览 器 端 提供 的 对 称 加 密 的 
密 铀 ， 然 后 利用 该 密 钥 进 行 通信 过 程 中 信息 的 加 密 和 解密 。 为 了 保证 消息 在 传递 过 程 中 没有 被 自 
改 ， 可 以 加 密 Hash 编 码 来 确保 信息 的 完整 性 。 

服务 器 数学 证 书 主 要 颁发 给 Web 站 点 或 其 他 需要 安全 鉴别 的 服务 器 ， 证 明 服 务 器 的 吴 份 信 
县 ， 同 样 客户 端 数字 证 书 用 于 证 明 客 户 端的 身份 。 

使 用 公用 密 钥 的 方式 可 以 保证 数据 传输 没有 问题 , 但 如 果 浏 览 器 客户 访问 的 站 点 被 假 昌 ， 这 
也 是 一 个 严重 的 安全 问题 。 这 个 问题 不 属于 加 密 本 映 ， 而 是 要 保证 密 钥 本 映 的 正确 性 问题 。 要 保 
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证 所 获得 的 其 他 站 点 公用 
密 钥 为 其 正确 的 密 钥 ,而 非 
假冒 站 扣 的 密 钥 , 束 必 须 通 
过 一 个 认证 机 制 , 能 对 站 扣 


铀 长 度 等 相关 信息 
的 密 钥 进行 认证 。 当 然 即 使 np 


没有 经 过 认证 ,仍然 可 以 保 m 
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证 信息 传输 的 安全 ， 只 是 客 
P AS BER T US IRI BR HAS d 
没有 被 假冒 。 如 有 末 不 是 为 了 


点 适 作 钥 加 密 的 本 这 对 话 客家 




















、 、 D EPAR ABAAA Lo 
提供 电子 商务 等 方面 对 安 oas e RA E Oú 
全 性 要 求 很 高 的 服务 ,一 般 
SE HH Y 4 E 、 EDEN — E 
不 需要 如 此 严格 的 考虑 。 omm 
下 面 给 出 使 用 SSL 进 


行 通信 的 过 程 ， 如 图 7-7 所 示 。 

(1) 客户 问 癌 服务 需 端 发 起 对 话 ， 协 商 传送 加 密 算 法 。 例 如 : 对 称 加 密 算法 有 DES、RC5， 
密 钥 交换 算法 有 RSA 和 DH， 摘 要 算法 有 MD5 和 SHA。 

(2) 服务 器 向 客户 端 发 送 服务 器 数字 证 书 。 比 如 : 使 用 DES 一 RSA 一 MD5 这 对 组 合 进行 通 
言 。 客 户 端 可 以 验证 服务 器 的 号 份 ， 决 定 是 合 需 要 建立 通信 。 

C3) 客户 靖 回 服务 天 传 送 本 次 对 话 的 密 铀 。 在 检 得 服务 堪 的 数字 证 书 是 个 正 确 ， 通 过 CA 机 
构 颁 发 的 证 书 验 证 了 服务 器 证 书 的 真实 有 效 性 之 后 , 客户 端 生 成 利用 服务 器 的 公 钥 加 密 的 本 次 对 
话 的 密 钥 发 送 给 服务 器 。 

(4) 服务 器 用 目 己 的 私 钥 解 黎 获取 本 次 通信 的 密 铀 。 

(5) 双方 的 通信 正式 开始 。 

在 一 般 情 况 下 ， 当 客户 端 是 保密 信息 的 传递 者 时 ， 他 不 需要 数字 证 书 验 证 上 自己 喘 份 的 
真实 性 ， 如 用 户 通 第 使 用 的 网 上 银行 交易 活动 ， 客 户 需 要 将 上 自己 的 隐秘 信息 一 一 账号 和 密 
但 发 送 给 银行 ， 因 此 银行 的 服务 器 需要 安 猜 数字 证 书 来 表明 目 己 身份 的 有 效 性 ， 否 则 将 会 
使 得 信息 泄露 。 当 然 ， 在 某 些 安全 性 要 求 极 高 的 B2B (Business to Business) 应 用 ,服务器 
谓 也 需要 对 客户 端的 号 份 进行 验 证 ， 这 时 客户 冰 也 需要 安 猜 数字 证 书 以 保证 通信 时 服务 器 
可 以 辨别 出 客户 端的 喘 份 ， 验 证 过 程 类 似 于 服务 器 身份 的 验证 过 程 。 男 外 ， 在 一 些 电 子 丙 
务 的 应 用 中 ， 可 能 还 会 使 用 到 电子 签名 ， 或 者 为 了 信息 交换 的 更 加 安全 ， 会 增加 电子 签名 
和 消息 校 验 公 (MAC)。 而 在 通 稼 情况 下 ， 浏 览 器 都 会 通过 交互 的 方式 来 完成 上 述 的 通信 
过 程 。 下 面 将 在 Linux 中 对 Apache 采用 SSL 也 会 做 详细 的 介绍 。 


7.7.3 ”使 用 开源 的 OpenSSL 保护 Apache 通信 安全 
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1. 安装 OpenSSL 

虽然 Apache 服 务 器 不 文 持 SSL, 但 Apache 服 务 器 有 两 个 可 以 目 由 使 用 的 文 持 SSL 的 相关 计划 ， 
一 个 为 Apache-SSL， 它 集成 了 Apache 服 务 器 和 SSL， 另 一 个 为 Apache+mod ssl， 它 是 通过 可 动态 
加 载 的 模块 mod_ ss] 来 文 持 SSL,， 其 中 后 一 个 是 由 前 一 个 分 化 出 的 , 并 因为 使 用 模块 , 易 用 性 很 好 ， 
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因此 使 用 范围 更 为 广泛 。 还 有 一 些 基 于 Apache 并 集成 了 SSL 能 力 的 商业 Web 服 务 器 ， 使 用 这 些 商 
业 Web 服 务 絮 的 主要 是 北美 ， 这 是 因为 在 那里 SSL 使 用 的 公开 密 钥 的 算法 具备 专利 权 ， 不 能 用 于 
商业 目的 ， 其 他 的 国家 不 必 考 虑 这 个 专利 问题 ， 而 可 以 日 由 地 使 用 SSL。 

Apache+mod ssl 依 赖 于 另外 一 个 软件 : OpenSSL， 它 是 一 个 可 以 自由 使 用 的 SSL 实 现 ， 首 先 
需要 安装 这 个 软件 。 用 户 可 以 从 网 站 http:/www.openssl.oreg/source/ 上 下 载 Linux 下 OpenSSL 的 最 新 
稳定 版 本 : openssl-0.9.8Kk.tar.gz《〈 目 前 发 布 的 beta 测 试 碑 本 为 : openssl-1.0.0-betal.targgz) ， 鉴 于 其 
稳定 性 ， 本 书 采 用 稳定 厂 本 进行 安 闭 使 用 。 

下 载 源 代码 安装 包 后 ， 使 用 以 下 的 步 坚 安装 即 可 。 

(1) 用 openssl-0.9.8k.tar.gz 软 件 包 安 装 OpenSSL 之 前 ， 首 先 需 要 对 该 软件 包 进 行 解压 缩 和 人 解 
包 。 用 以 下 命令 完成 软件 包 的 解压 缩 和 解 包 : 
tear xvftz openssl-0:9.85koter:gz 

(2) fH. XEAJBRRBESHo*openssl-0.9.8k,. FEHMET AA. THNLEJ 
// 改 变 当前 目录 为 openss1-0.9.8k 目录 
ED 




















a 





// 执 行 该 目录 下 配置 脚本 程序 
#./configure 
(3) 在 执行 configure 之 后 ， 配 置 脚本 会 目 动 生成 Makefileg。 如 果 在 设置 的 过 程 中 没有 任何 
错误 ， 驳 可 以 开始 编 详 源 介 了。 相应 的 命令 及 其 显示 结果 如 下 : 
#make & make install 
需要 说 明 的 是 : OpenSSL 已 经 在 Red Hat Enterprise Linux 5 系统 中 目 市 ， 其 RPM 包 的 版 本 为 
openssl-0.9.8b-7.3.el$.rpm， 用 户 也 可 以 在 安装 光盘 中 找到 该 软件 包 后 执行 以 下 命令 进行 安装 : 
inon ar a ooe a e cbe a a eu 
安装 好 OpenSSL 之 后 ， 就 可 以 安装 使 用 Apachetmod ssl1 了 。 然 而 为 了 保证 安装 完全 正确 ， 需 
要 请 除 原 先 安 儿 的 Apache 服 务 器 的 其 他 戌 本， 并 且 还 要 清除 所 有 的 设置 文件 及 其 默认 设置 文件 ， 
以 避免 出 现 安 装 问 题 。 最 好 也 删除 /usrvlocallwww 目 录 《〈 或 更 名 ) ， 以 便 安 装 程序 能 建立 正确 的 初 
台 文 档 目录 。 如 末 是 一 人 台 没 有 安 钱 过 Apache 服 务 硕 的 新 系统 ， 便 可 以 忽略 这 个 步骤 ， 而 直接 安 浅 
Apache-mod ssl 了 。 该 模块 也 在 系统 Red Hat Enterprise Linux 5 中 目 带 ， 其 版 本 为 
mod ssl-2.2.3-7.e13， 用 户 可 参照 OpenSSL 的 RPM 包 安 装 方 法 进行 安 闭 即 可 。 




















2. 为 OpenSSL 产生 认证 凭证 


在 采用 OpenSSL 进 行 Apache 通 信 加 密 前 ， 需 要 先 产生 与 加 密 相关 的 认证 凭证 ， 如 下 所 示 : 
# openssl genrsa -out apache.key 1024 











Generating RSA private key, 1024 bit long modulus 


M EM eM MR eMe PE 十 十 十 十 十 十 
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ky = 
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# openssl req -new -key apache.key -out apache.csr 
有 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

Df yow enter "cu hecbrebdswrilbob5be Lett ocank. 

Country Name (2 letter code) [GB]:CN 

State or Province Name (full name) [Berkshire]:China 

Locality Name (eg, city) [Newbury]:Beijing 


Organization Name (eg, company) [My Company Ltd]:CSO 


Organizar iona e Naame (So SooOtmem 
Common Name (eg, your name or your server's hostname) []l:localhost 
Emari lee XC bra EO (pe an] 


Please enter the following 'extra' attributes 
tO pe Sent wren vour ect Lie recguest 
A challenge password []:apacheserver 


An optional company name []:apacheserver 


# openssl x509 -req -days 365 -in apache.csr -signkey apache.key -out apache.crt 
Signature ok 
subject-/C-2CN/ST-China/L-Beijing/O-CSO/OU-CSO/CN-1ocalhost/emailAddress-CS 
(QUEE fe ONG OU 
Getting Private key 
经 过 上 述 步骤 后 ， 将 会 产生 三 个 文件 : apache.csr、apache.key 和 apache.crt， 然 后 把 这 三 个 文 
件 复制 到 /etc/httpd/conf/ca 目 录 下 即 可 。 
3. 启动 和 关闭 OpenSSL 
经 过 上 述 的 步骤 后 ， 下 一 步 承 是 开局 具有 SSL 功 能 的 Apache 服 务 左 。 局 动 和 关闭 该 服务 器 的 
qu F 
x o 


=  #apachectl start: 启动 Apache. 
=  #apachectl startssl: 局 动 Apache ssl. 
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= — Hapachectl stop: 471E Apache. 
= #apachectl restart: 重新 局 动 Apache. 
=  #apachectl status: 显示 Apache 的 状态 。 


= — fapachectl configtest: 测试 httpd.conf 配置 是 否 正 确 。 
4$ /usr/local/sbin/apachectl startssl 
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此 时 使 用 start 人 参数 为 仅仅 局 动 普 通 Apache 的 httpd 守 护 进程 ， 而 不 局 动 其 SSL， 而 startss1] 才 有 
能 局 动 Apache 的 SSL 能 力 。 如 果 之 六 Apache 的 守护 进程 正在 运行 ， 便 需要 使 用 stop 参 数 先 停止 服 
务 髓 运行 。 

然后 ， 束 可 以 局 动 Mozilla、IE 或 其 他 支持 SSL 的 浏览 费 ， 输 入 URL 为 : https:/ssl_ server/2K ft 
看 服务 嚣 是否 有 啊 应 ，https 使 用 的 默认 新 口 为 443， 如 果 一 切 正 稍 ， 服 务 喜 将 会 返回 给 客户 问 证 
书 ， 由 客户 靖 进 行 验证 并 且 判 新 ， 是 侣 接受 该 证 书 并 进行 下 一 步 的 通信 过 程 。 

下 面 以 Linux 下 的 Mozilla Firefox 浏 览 右 为 例 ， 来 简要 说 明 使 用 Apache+SSL 服 务 器 的 过 程 。 首 
^c. Ed 7-8 给 出 了 但 看 和 验证 该 证 书 的 相关 提示 ; 最后， 网 7-9 则 给 出 了 证 书 验 证 成 功 后 ， 采 用 
SSL 进 行 傈 冤 传 输 的 具体 界面 示意 。 
























































Cb 应 用 程序 位 置 mue uu Q) — € 应 用 程序 位 置 系统 © 1415 9) 
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A 无 法 确定 localhost.localdomain 的 标识 为 可 信任 的 站 点 。 


发 生 此 错误 的 可 能 原因 : E - : 1 
VS RECO TI ME RR ROTE Red Hat Enterprise Linux Test Page 


- 此 站 点 的 证 书 因 为 服务 器 配置 不 正确 而 不 完整 。 



































- 作 已 经 连接 到 一 个 伪装 为 localhost.localdomain 的 站 点 ， 它 可 能 会 获取 您 的 机 密 信息 This page is used to test the proper operation of the Apache HTTP server after it has been 
A 请 通知 该 站 点 的 管理 员 这 个 问题 。 installed. If you can read this page, it means that the Apache HTTP server installed at this 
site is working properly. 
接收 此 证 书 之 前 ， 您 应 该 仔细 检查 此 站 点 的 证 书 。 您 要 接受 此 证 书 用 于 标识 网 站 | 
localhost.localdomain B ? 
If you are a member of the If you are the website 
| 检查 证 书 ,， general public: administrator: 
O 永远 接受 此 证 书 The fact that you are seeing this page You may now add content to the directory || 
E Ed gr indicates that the website you just visited /var/www/html/. Note that until you do so, 
O 仅 在 当前 会 话 中 接受 此 证 书 is either experiencing problems, or is people visiting your website will see this 
O 不 接受 此 证 书 ， 世 不 要 连接 到 该 网 站 undergoing routine maintenance. page, and not your content. To prevent 
this page from ever being used, follow the 
| x 取消 | | JRE | If you would like to let the administrators instructions in the file 
— of this website know that you've seen this /etc/httpd/conf .d/welcome. conf. 
page instead of the page you expected, 
| | you should send them e-mail. In general, You are free to use the image below on L| 
bs mail sent to the name "webmaster" and web sites powered bv the Apache HTTP bs 
已 连接 到 192.168.10.29 完成 182.168.1028. 加 
e| (I root@lo… | 七 计算 机 | O7 | £ tmp [È oktxtuc- J| & mga. J| jS € E) | rotano- | rn — | 07 | E tmp | [2 oktxt uc- || & Test Pag- | E 9 














图 7-8 ”验证 证 书 示 意 图 7-9 证书 通过 验证 ， 正 常 通信 开始 


Apache 日 志 管 理 和 统计 分 析 


7.8.1 日 志 管 理 概 述 


日 忘 文件 是 用 户 管理 和 监控 Apache 安 全 的 非常 好 的 第 一 手 资料 , 它 清晰 地 记录 了 客户 曾 访 问 
Apache 服 务 问 资源 的 每 一 条 记录 ， 以 及 在 访问 中 出 现 的 错误 信息 ， 可 以 这 样 说 ，Apache 可 以 记录 
Web 访 问 中 感 兴 趣 的 几乎 所 有 信息 。 

当 运 行 Apache 服 务 器 时 生成 以 下 4 个 标准 的 日 志文 件 。 

a ARH 

a ”访问 日 志 

" (kim Ha 

= cookie H 3% 

其 中 比较 第 见 的 是 访问 日 志 Caccess log〉 和 错误 日 志 (error log) ， 其 中 传输 日 志和 cookie 
日 六 被 Apache 2.0 以 上 的 版 本 丢弃 ， 所 以 本 书 将 不 讨论 这 两 种 日 志 。 当 然 ， 如 果 使 用 SSL 服 务 的 
话 ， 还 可 能 存在 ssl access log. ssl error log 和 ssl request log 三 种 日 志文 件 。 

男 外 ， 值 得 注意 的 是 : 上 述 儿 种 日 志文 件 如 果 长 度 过 大 ， 还 可 能 生成 注入 access_log.1、 
error log.2 等 的 额外 文件 ， 其 格式 与 含义 和 和 上述 儿 种 文件 相同 ， 只 不 过 系统 目 动 为 其 进行 命名 
Ifi] Ce 
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7.8.2 与 日 志 相 关 的 配置 指令 


Apache 中 提供 以 下 4 条 与 日 六 相关 的 配置 指令 。 

» ”ErrorLog 指令 : 用 于 指定 错误 日 六 的 存放 路 径 ， 使 用 语法 为 : ErrorLog 文件 名 。 

a  LogLevel: 用 于 指定 错误 日 志 的 错误 登记 ， 使 用 语法 为 : Loglevel 等 级 。 

mn ”LogFormat: 用 于 为 日 志 记 录 格 式 命名 ， 使 用 语法 为 : LogFormat 记录 格式 说 明和 字符 上 串 

格式 称谓 。 

mn  CustomLog: 用 于 指定 访问 日 志 存 放 路 径 和 记录 格式 ， 指 定 访 问 日 志 由 指定 的 程序 生成 

并 指定 日 志 的 记录 格式 ， 使 用 语法 为 : CustomLog 日 志文 件 名 格式 称谓 。 

在 上 述 几 个 文件 当中 ， 除 了 error log 和 和 ssl_error log 之 外 ， 所 有 日 志文 件 以 由 CustomLog 和 
LogFormat 指 令 指 定 的 格式 生成 。 这 些 指 令 在 httpd.conf 文 件 中 出 现 。 使 用 LogFormat 指 令 可 以 定义 
狐 的 日 志文 件 格 式 : 

POGET a E a E a 

假定 使 用 的 是 common 日 志 格 式 或 者 combined 日 志 格 式 ， 这 两 种 格式 都 在 默认 的 配置 文件 中 

定义 。 表 7-3 列 出 了 LogFormat 语 句 可 以 使 用 的 变量 . 


















































表 7-3 LogFormat 语句 的 变量 

















%b 发 送 字 节 ， 不 包括 HTTP 标题 

vof 文件 名 

%{VARIABLE}e 环境 变量 VARIABLE 的 内 容 

%h 远程 主机 

%a 远程 IP 地址 

V, (HEADERH HEADER 内 容 ; 发 送 到 服务 器 的 请 求 的 标题 行 

9l 远程 登录 名 《如果 提供 该 值 ， 则 从 identd 获得 ) 

7o 4NOTEjn 来 自 男 一 个 模块 的 NOTE 通知 的 内 容 

%{HEADER!o HEADER 的 内 容 ， 回 复 中 的 标题 行 

Yop 服务 器 服务 于 请 求 的 规范 端口 

%P 服务 于 请 求 的 子 进 程 的 ID 

Vor 请 求 的 第 一 行 

%s 状态 。 对 于 内 部 重 定向 的 请 求 ， 该 状态 为 初始 请 求 一 最 后 是 %>s 
oot 时 间 ， 格 式 为 common 日 志 格 式 中 的 时 间 格 式 

% {format}t 时 间 ， 格 式 由 format 给 出 。 可 以 是 strftime (3) 格式 

%T 服务 请 求 花 费 的 时 间 ， 以 秒 计 

oou 3 H auth 的 远程 用 户 ; 如 果 返 回 的 状态 〈%s) 为 401 则 可 能 是 假 的 
%U 请 求 的 URL 路 径 

oV 服务 于 该 请 求 的 服务 器 的 规范 ServerName 








在 每 个 变量 中 , 可 以 在 前 面 设置 一 个 条 件 , 决定 是 否 显示 该 变量 。 如 果 不 显 示 , 则 显示 “-”。 
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这 些 条 件 是 数值 返回 值 列 表 的 形式 。 为 外 ， 还 可 以 使 用 CustomLog 指 令 指 定 日 忘 文件 的 位 置 和 
格式 。 如 来 没有 指定 日 忘 文件 的 绝对 路 人 径 ， 则 日 忘 文件 的 位 置 假定 为 相对 于 ServerRoot。 


Jt 
(a 
> 
< 
a 
a 
人 











下 面 是 httpd.conf 文 件 中 指定 日 志文 件 的 语句 ; 


The ieoa on cicli orma oe ea S IO dc c OT oo NISUS cu e 
TE youn do TOt derre any ACCESS Otel VI 
container, they will be logged here. Contrariwise, if you *do* 

define per-«VirtualHost» access logfiles, transactions will be 


logged therein and NOL aM ANTS qul 


Coe cobo doe Te Me OT 


ee 


7.8.3 ”日志 记录 等 级 和 分 类 





一 般 来 说 ，Apache 中 的 错误 日 志 记 录 等 级 有 如 表 7-4 所 示 的 八 类 。 














表 7-4 错误 日 志 记 录 的 等 级 
1 出 现 紧急 状况 使 得 系统 不 可 用 
2 需要 立即 引起 注意 的 状况 
3 危险 情况 的 警告 
4 RER 3 种 情况 之 外 的 其 他 错误 
5 Warn 警告 信息 
6 需要 引起 注意 的 情况 ， 不 如 第 4 和 第 5 类 重要 
7 需要 报告 的 一 般 消 息 
8 运行 于 debug 模式 的 程序 产生 的 消息 


男 外 ， 在 Apache 中 ， 将 访问 日 记分 为 以 下 4 类 。 

a 普通 日 六 格式 (Common Log Format, CLE) : 大 多 数 日 志 分 析 软 件 都 支持 这 种 格式 ， 
其 在 LogFormat 指定 中 定义 的 昵称 为 common. 

a 参考 日 六 格式 (Referer Log Format) : 记录 客户 访问 站 点 的 用 户 映 份 ， 其 在 LogFormat 
指定 中 定义 的 昵称 为 referer。 

a RAHEL (Agent Log Format) : 记录 请 求 的 用 户 人 代理， 其 在 LogFormat 指定 中 定 
义 的 昵称 为 agent. 

a AHEM (Combined Log Format) : 即 结合 上 述 3 种 格式 的 日 志 人 信息， 其 在 
LogFormat 指定 中 定义 的 昵称 为 combined。 

在 实际 的 使 用 过 程 中 ， 由 于 综合 日 忘 格式 有 效 地 结合 了 其 他 3 种 日 志 的 格式 和 信息 ， 所 以 























在 配制 访问 日 六 时 ， 可 以 有 两 种 方式 。 
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(1) 分 别 使 用 3 个 文件 进行 分 别 记 录 ， 相 应 的 配置 示例 如 下 : 
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Iodmocmcb e E E ME HE. c IO 
LogFormat = {Refereri US referer 
LogFormat "%{Apache User-agent}I" agent 
Co renon oge oeae ea onmen 
Cutolo Ee log erore 
人 

(2) 使 用 一 个 综合 文件 进行 记录 ， 相 应 的 配置 示例 如 下 : 


Ti 





xc enm ane omis ed 


Co toneo loo aec comm ol 
7.8.4 使 用 Webalizer 对 Apache 进行 日 志 统计 和 分 析 


在 Linux 下 有 许多 流量 分 析 软 件 。Webalizer 瓯 是 其 中 一 个 局 效 、 人 简单 易 用 、 免 费 的 Web 服 
务 器 日 志 及 流量 分 析 程 序 。 其 分 析 结 果 以 HTML 文件 格式 保存 ， 可 以 很 方便 地 通过 Web 服 务 器 
进行 浏览 。Internet 上 的 很 多 站 点 都 使 用 Webalizer 进 行 Web 服 务 吉 日 志 及 流量 分 析 。 本 布 将 对 使 
用 该 软件 进行 日 志 统 计 和 分 析 作 介绍 。 


1. Webalizer 的 特点 


Webalizer 具 有 以 下 一 些 特性 。 

s。 用 C 语言 编号， 具有 很 高 的 运行 效率 。 在 主 频 为 200MHz 的 机 右上 ，Webalizer 每 秒 可 
以 分 析 10000 条 记录 ， 所 以 分 析 一 个 40MB 大 小 的 日 志文 件 只 需 15 秒 。 

a ”其 支持 标准 的 一 般 日 志文 件 格 式 “Common Logfile Format) ; 除 此 之 外 ， 也 文 持 几 种 
HS HII (Combined Logfile Format〉 的 变种 ， 从 而 可 以 统计 客户 情况 以 及 客户 操 
作 系 统 类 型 。 并 且 现 在 Webalizer 已 经 可 以 文 持 wu-ftpd xferlog 日 志 格 式 以 及 Squid H 
志文 件 格 式 了 了。 

sa 文 持 命令 行 配 置 以 及 配置 文件 。 

a 可 以 文 持 多 种 语言 ， 也 可 以 目 己 进行 本 地 化 工作 。 

sa 支持 多 种 平台 ， 比 如 UNIX, Linux, Windows, OS/2 和 MacOS 等 。 
































2. 安装 Webalizer 


JA Webalizerl] 9 pi http://www.mrunix.net/webalizer/download.html FZXiWebalizer, 4 gj 
新 版 本 是 Webalizer-2.21-02-src.tgz。 按 照 如 下 步骤 进行 安装 ; 
// 解 开源 代码 包 
ics reels er- tuc eee 
// 在 生成 的 目录 中 有 个 lang 目录 , 该 目录 中 保存 了 各 种 语言 文件 , 但 是 只 有 繁体 中 文 版 本 , 可 以 目 己 
转换 成 徐 体 ， 或 者 目 己 重新 翻译 一 下 。 
/ /然后 进入 生成 的 目录 : 


#./configure 

















#make --with-language-chinese 


/ /编译 成 功 后 ， 会 产生 一 个 Webalizer 可 执行 文件 ， 可 以 将 其 复制 到 /usr/sbin/ 目 录 下 
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#cp Webalizer /usr/sbin/ 
这 样 ， 安 铸就 成 功 了 ， 便 可 以 对 其 进行 配置 了 。 
237h, Red Hat Enterprise Linux 5 也 已 经 目 市 了 Webalizer 的 RPM 安 闭 包 ， 可 以 使 用 以 下 命 
AE DOR SCR: 


dutem le 2 181. CEDE SII UL seem 





3. 配置 Webalizer 

用 户 可 以 通过 命令 行 配置 Webalizer， 也 可 以 通过 配置 文件 进行 配置 。 本 节 将 介绍 使 用 配置 
文件 进行 配置 ， 因 为 该 方法 使 用 形式 比较 直观 ,较为 普 明 。 而 且 ， 所 有 通过 命令 行 配置 的 选项 ， 
都 将 体现 在 配置 文件 上 。 

Webalizer 的 配置 文件 的 路 径 为 : /etc/webalizer.conf， 其 有 一 个 对 应 的 例子 文件 
/etc/webalizer.conf.sample。 在 一 般 情 况 下 ， 该 配置 文件 的 默认 选项 都 能 满足 一 定 的 应 用 需要 ， 
可 以 直接 使 用 。 在 遇 到 特殊 情况 时 ， 可 以 对 该 配置 文件 进行 配置 。 下 面 给 出 配置 该 文件 的 实际 
例子 和 步 又 : 

/ /使 用 vi 编辑 webalizer 配置 文件 
#vi /etc/webalizer.squid.conf 


// 设 装 访 问 日 志 的 存放 路 任 

















LogFile/var/log/httpd/access log 


/ EEV IR] HL PI OM 


LogType clf 





/ /设置 报表 输出 目录 从 默认 值 


OutputDir /var/www/html/usages 


// 使 用 crontab 命令 让 webalizer 每 天 生成 Apache 的 当日 流量 统计 分 析 


fcrontab -e 
4. 使 用 Webalizer 


通常 情况 下 ， 根 据 上 和 面 的 讲述 配置 好 了 该 软件 之 后 ， 局 动 Apache 服 务 右 和 该 软件 即 可 ， 如 
下 命令 所 示 : 
#service httpd start 








t/usr/bin/webalizer -c /etc/webalizer.conf 
局 动 Apache 服 务 以 及 该 软件 后 ， 束 可 以 通过 浏览 右 来 全 看 Apache 尝 量 分 析 的 结果 了 ， 在 IE 
浏览 器 的 地 址 栏 内 输入 Apache 服 务 器 的 地 址 : http://210.77.27.59/usage， 则 得 到 如 图 7-10 所 示 
的 结 
图 7-10 给 出 了 流量 分 析 的 示意 图 以 及 一 些 数据 说 明 , 更 详细 的 统计 分 析 数 据 , 可 以 单 击 图 
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7-10 P “Summary by Month” 表 格 的 “Jul 2009” 超 链接 ， 则 显示 出 如 图 7-11 所 示 的 详细 信息 。 

通过 分 析 和 得 看 这 些 统计 图 表 的 结果 ， 用 户 可 以 清楚 地 知道 Apache 服 务 器 使 用 的 细节 情况 ， 并 

可 以 根据 情况 来 对 服务 右 做 出 适当 的 调整 和 优化 。 

Er USC MR 0 0707 本 Usage Statistics for localhost. localdomain ticro... QER) 
? 


i] A €» JD ka € (2 8-LJg| AGES WEO A0 PEG) SEU KEA IAT) 800 


地 址 加 ) (E) http: //210. TT. 27. 59/usage/ * E 5l Norton AntiVirus Y T 














ix] (d) fo. Orr yix O R- 


Summary Period: Last 12 Months HAIE)! — http://210. TT. 2T. 59/usage/ ho gea Norton AntiVirus (gd ~ 


Generated Sep-01-2009 15:30 CST 


Usage Statistics for localhost.localdomain 








Monthly Statisticas for July 2009 
Total Hits 
Total Files 
Total Pages 
Total Visits 
Total KBytes 























Total Unique Sites 
Total Unique URLs 
Summary by Month Total Unique Referrers 








Daily Avg 


A Monthly Totals z 
Month 
EE | Pages Visits | Sites EBB Visis Pages DENESI E Total Unique User Agents 
18 B 18 1 1 18 1j 18 3 18 


Jul 2005 





Hits per Hour 











Totals 211 20 106 70 143 Hits per Day 





K 7-10  fUE TL EV fe 图 7-11 月 流量 详细 信息 报表 
最 后 ， 使 用 Webalizer 还 有 一 个 要 注意 的 问题 是 : 通 币 并 不 需要 每 个 用 尸 都 有 权限 来 得 看 代 

理 服务 井 的 流量 情况 ， 人 否则 对 于 系统 来 说 是 不 安全 的 。 所 以 ， 可 以 使 用 访问 控制 策略 来 对 上 述 
分 析 图 表 的 查看 权限 进行 控制 ， 可 以 在 Apache 的 主 配置 文件 /etc/htpd/conf/httpd.conf 中 进行 认证 
和 授权 的 配置 ， 如 下 所 示 : 

«Directory "/var/www/html/usage"» 

// 使 用 基本 认证 方式 

AuthType Basic 

/ /指定 认证 域名 称 

AuthName "admin" 

/ /R5E A UE E RE EE 

AuthUserFile /var/www/passwd/admin 

/ 'BOBUR WW UE DI A CT RII FII 


require valid-user 














DIe eoe 
认证 和 授权 配制 成 功 后 ， 要 创建 认证 口令 文件 以 及 添加 用 三 liyang。 
#mkdir /var/www/passwd 
#cd /var/www/passwd 
#htpasswd -c admin liyang 
New password: 
Re-type new password: 
Adding passwor for user liyang 
然后 ， 将 口令 文件 的 属 主 改 为 Apache， 并 重新 局 动 Apache。 


#chown apache.apache admin 





fservice httpd restart 
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经 过 上 面 的 配置 后 ， 用 户 在 了 正 地 址 栏 内 输入 路 径 : 
http://210.77.27.59/usage 后 ， 其 有 认证 和 授权 的 用 户 才 能 通 
过 如 图 7-12 所 示 的 用 户 验 证 界面 查看 Apache 服 务 器 的 流量 
分 析 报 表 信 息 。 


eA 210.77.27.59 





€ liyag 


AOOO 


[ id fEXEROSERS ®) 




















图 7-12 ”用户 登录 验证 界面 


其 他 有 效 的 安全 措施 


7.9.1 使 用 专用 的 用 户 运 行 Apache 服务 器 


一 般 情 况 下 ， 在 Linux 下 局 动 Apache 服 务 嚣 的 进程 httpd 需 要 root 权 限 。 由 于 root 权 限 太 大 ， 
存在 许多 江 在 的 对 系统 的 安全 威胁 。 一 些 管 理 员 为 了 安全 的 原因 ， 认 为 httpd 服 务 器 不 可 能 没有 
安全 漏洞 ， 因 而 更 愿意 使 用 普通 用 户 的 权限 来 月 动 服 务 器 。http.conf 主 配置 文件 里 面 有 以 下 两 
个 配置 是 Apache 的 安全 保证 ，Apache 在 启动 之 后 ， 束 将 其 本 身 设 置 为 这 两 个 选项 设置 的 用 户 和 
组 权限 进行 运行 ， 这 样 束 降低 了 服务 右 的 危险 性 。 


User apache 

















Group apache 
要 特别 指出 的 是 : 以 上 两 个 配置 在 主 配置 文件 里 和 面 是 默认 选项 ， 当 采用 root 用 户 身 份 运 
meus UC BSEAJERITIRIIC AMARA Apache, XXE, httpd 3E FENIAN PR o4 
限制 在 Apache 用 户 和 组 范围 内 ， 因 而 保证 了 安全 。 


7.9.2 WARR Apache 服务 器 的 版 本 号 


Apache HR 5 3 B3 hc Zl 5 n] 网 sees 1 xs O mind 
以 作为 黑客 入 侵 的 重要 信息 进 E EI D ERU, o XX M MM -— 
行 利 用 , 他 们 通常 在 获得 版 本 号 “” 
后 , 通过 网 上 搜索 针对 该 版 本 服 Z The directives in this section affect the oterali operation ot Wache; 
务 器 的 漏洞 , 从 而 使 用 相应 的 技 22200 CMT 
本 和 工具 有 针对 性 地 入 侵 。 因 ee 

















ES * finding ou at major optional modules you are running 
` > ServerTokens 05 HENRI 
此 , 为 了 避免 一 些 不 必要 的 矿 烦 
$ N y y ELI] V * ServerRoot: The op of the director) ree der which the server's 
和 安全 隐患 /JUAN 9 可 以 通过 主 配 置 文 Tc aroma i hes Tr, and log ion dre kept: PUT 
* NOTE! If you intend to place this on an NFS (or otherwise network) 
ft httpd.conf F 的 以 下 两 个 选项 * mounted filesystem then please read the LockFile documentati iig 
* (available at «URL:http://httpd.apache.org/docs/2.2/mod/mpm common.htmlflockfile»): 
- 一 =i 7 you will save yourself a lot of trout 
进行 ,如 图 7-13 和 图 7-14 所 示 。 a 
* Do NOT add a slash at th nd of thé t tl 
ServerRoot tc/htt 











@ 


lel | 国 root@localhost:/etc/httpd/conf | [E 


图 7-13  ServerTokents 选项 示意 





第 7 章 
紧密 布控 : 企业 Web 服务 器 安全 护 护 D 


(1) ServerTokens. 1%% 网 应 用 程序 tE rA ox Q) 
[= rootGlocalhost:/etc/httpd/conf = Lili: 

项 用 于 控制 服务 器 是 否 响应 ZÐ REO EEV SEO PEO HHH 
来 和 目 客户 端的 请 求 ， 同 客户 端 v 
输 出 服务 器 系 统 类 型 型 或 者 相 CustomLog logs/access log combined 


应 的 内 置 模块 等 重要 信息 。 





ess, agent, and referer information 
ed Logfile Format), use the following directive: 


75 0 
5 
Ta 
中 
ct 
T 


人 林 IE ode H 


Optionally add a line containing the server version and virtual host 
name to server-generated pages (internal error documents, FTP directory 


, : Ei FRIES mod status and d output etc., but not CGI generated 
Red Hat Enterprise Linux 5 f documents or custom error documents). 
Set to "EMail" to o i clude a mailto: link to the ServerAdmin. 
Set to one of Qn | orf | EX 


HH dE k 4: E wy 


作 系 统 在 主 配置 文件 中 提供 
全 局 默认 控制 阔 值 为 OS， 即 
ServerTokens OS. 它们 将 向 客 


> > 
> 
zc 


B D 
» 
J - 
J 
e. 
& © 
nm 
" 
[e] 
t» 
u 
D 
t» 
w f» 
uU - 
enm "t 
ui 
t 
u 
em 
o 
e 
enm 
" 
i 
in 


S man) you n with n mit Ihe format 
lias fakename realname 


Note that if you include a trailing / on fakename then the server will 
require o be prese i e URL. So '"/icons" aliased i is 
T ym EAS 1A FRI TH require it t be pr nt in th RL. S /icon snt i n thi 
VT ZS IN 2i H JUN example, only /icons/ . If the fakename is sla i- terminated, then the 


realname must also be slash terminated, and if the fakename omits the 
trailing slash, the realname must also omit it. 


KPU PE» PA 
情况 下 需要 在 该 选项 后 使 用 
“ProductOnly”， 即 Server 


We include the /icons/ alias for FancyIndexed directory listings. If you 
do not use FancyIndexing, you may comment this out. 





> Fk Fk Fk Fk Fk Fk F Fk E E 3E 3E y 


as /icons/ "/var/www/icons/" 





E 
© 


le) | Bl rootGlocalhost/etc/nttpd/cont — | 


Tokens ProductOnly. 图 7-14  ServerSignature 选项 示意 
(2) ServerSignature. iZ 


选项 控制 由 系统 生成 的 页 面 〈 错 误 信 息 等 ) 。 默 认 情 况 下 为 off， 即 ServerSignature off， 访 情况 
下 不 输出 任何 页 面 信 息 。 另 一 情况 为 on， 即 ServerSignature on， 该 情况 下 输出 一 行 关于 版 本 号 








等 的 相关 信息 。 安 全 情况 下 应 该 将 其 状态 设置 为 off。 

图 7-15 和 图 7-16 为 安全 设 定 这 两 个 选项 前 后 正常 情况 下 和 错误 情况 下 的 输出 页 面 ( 通 
过 Rhels 中 的 Mozilla Firefox 浏览 器 访问 Rhel5 中 的 Apache 服务 器 ) 的 详细 对 比 。 可 以 清 
楚 地 看 到 ， 安 全 设 定 选 项 后 ， 可 以 充分 地 问 客 户 端 用 户 隐 羧 Linux 操作 系统 信息 和 Apache 
服务 器 版 本 信息 。 





























网 应 用 程序 tE 系统 网 ss) 网 应 用 程序 tE 系统 鲍 ont 9) 
403 Forbidden - Mozilla Firefox ox 403 Forbidden - Mozilla Firefox x 

文件 如 REO EEV SU SEG IR( SEG XEO imi EEV RIO 书签 如 IRO Mh 

€- - F) [L http://192.168.10.29/rhelS/rhelS.a I-| Oa |, | €- J F) | http://192.168.10.29/rhelS/rhels.al || Osa |, 

团 Red Hat MünedHatMagazine MiRedHatNetwork Red Hat support RedHat WüRedHatMagazine MiRedHatNetwork MilRed Hat Support 


Forbidden Forbidden 


Y ou don't have permission to access /rhel5/ on this server. Y ou don't have permission to access /rhel5/ on this server 


Apache/2.2.3 (Red Hat) Server at 192.168.10.29 Port 80 


完成 完成 
| 滞 | | I [root@localhost:/var/www/html] || & 403 Forbidden - Mozilla Firefox | EN O ||| rootGlocalhost/etc/htpd/conf || @ 403 Forbidden - Mozilla Firefox | 








L| 
图 


图 7-15 错误 情况 下 未 设 定安 全 选项 前 示 图 7-16 正常 情况 F 使 用 安全 设 定 后 示意 
7.9.3 设置 虚拟 目录 和 目录 权限 

要 从 主 目 录 以 外 的 其 他 目录 中 进行 发 布 ， 束 必须 创建 虚拟 目录 。 虚 拟 目 孙 是 一 个 位 于 
Apache 的 主 目 录 外 的 目录 ， 它 不 包含 在 Apache 的 主 目 录 中 ， 但 在 访问 Web 站 点 的 用 户 看 米 ， 它 


与 位 于 主 目 录 中 的 子 目 录 是 一 样 的 。 每 个 虚拟 目录 都 有 一 个 别名 ， 用 户 Web 浏 览 右 中 可 以 通过 
此 别名 来 访问 虚拟 目录 ， 如 http:/ 服 务 器 下 地 址 /别名 /文件 名 ， 残 可 以 访问 虚拟 目录 下 面 的 任何 
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文件 了 。 使 用 虚拟 目录 有 以 下 几 个 显 者 的 优 点 。 











a ”便于 访问 : 由 于 虚拟 目录 名 《别名 ) 通 第 要 比 真 实 目 录 的 路 径 名 短 ， 因 此 使 用 虚拟 目 
KE GA) 访问 简短 、 方 便 。 

a ”便于 移动 站 点 中 的 目录 : 只 要 虚拟 目录 名 《别名 ) 不 变 ， 即 使 更 改 了 虚拟 目录 的 实际 
存放 位 置 ， 无 须 更 改 目 录 的 URL， 也 不 会 影响 用 户 的 访问 。 

" ”能 灵活 加 大 磁盘 空间 : 虚拟 目录 能 够 提供 的 磁盘 空间 几乎 是 无 限 的 。 适 合 于 提供 对 人 夏 
盘 空 间 要 求 加 大 的 VOD 服务 、 个 人 主页 服务 或 其 他 Web 服务 。 

a ”安全 性 好 : 由 于 每 个 虚拟 目录 都 可 以 分 别 设 置 不 同 的 访问 权限 ， 因 此 非常 适合 于 不 同 
用 户 对 不 同 目录 拥有 不 同 权 限 的 情况 。 此 外 ， 虚 拟 目 录 名 《别名 ) 通常 只 有 该 用 户 知 





























道 ， 有 其 他 不 知道 虚拟 目录 名 的 用 户 无 法 访问 。 墨 客 也 不 知道 虚拟 目录 的 实际 存放 位 置 ， 
难以 进行 破坏 。 


使 用 Alias 选 项 可 以 创建 虚拟 目录 。 在 主 配置 文件 中 , Apache 默 认 已 经 创建 了 两 个 虚拟 目录 。 
这 两 条 语句 分 别 建 立 了 “Aiconw” 和 “pmanual” 两 个 虚拟 目录 ， 它 们 对 应 的 物理 路 径 分 别 是 
“Jvar/www/icons/” 和 “/var/www/manual”。 在 主 配 置 文件 中 ， 用 户 可 以 看 到 以 下 配置 语句 : 


CONS/ 





Alias /manual "/var/www/manual" 
在 实际 使 用 过 程 中 ， 用 户 可 以 目 己 创建 虚拟 目录 。 比 如 ， 创建 名 为 /user 的 虚拟 目录 ， 它 所 
对 应 的 路 径 为 上 面 儿 个 例子 中 音 用 的 /varwww/html/rhel5: 
Alias /test "/var/www/html/rhel5" 
如 果 和 需要 对 其 进行 权限 设置 ， 可 以 加 入 以 下 语句 : 
ne en TE /wn /em enel o> 
AllowOverride None 
Options Indexes 
Order allow,deny 


Allow from all 


























Dire eo 
设置 该 虚拟 目录 和 目录 权限 esas UE xA 全 m 人 
后 , n] ELSE FH P 1 V 32 4 1 I ZRO MIO FRU "HO SED IAD MBO d mE: 
试验 证 , 采用 别名 对 该 目录 中 的 文 — 六 午时 
件 进 行 访 问 ; WARRE 7-17. we Hello, welcome to Red Hat Enterprise Linux Stesseseeseese 
所 示 。 可 以 清楚 地 看 到 ,该 图 和 图 
7-4 的 显示 结 末 一致。 原因 束 是 将 
/user 设 定 成 为 了 /var/www/html/ 
rhel$ 目录 的 别名 。 
男 外 , 上述 目录 的 权限 设置 还 
n LA f Hj nu du 3x o Br jr 28 
的 .htaccess 文 件 进行 单独 设置 ， 这 
BARAI. Pr E ë ë 
图 7-17 使 用 虚拟 目录 的 测试 结果 
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7.9.4 使 Web 服务 运行 在 “监牢 ”中 


Apache 服 务 融 需 要 绑 定 到 80 中 口上 来 监听 请 求 ， 而 root 征 唯一 有 这 种 权限 的 用 户 ， 随 看 攻 
击 手段 和 强度 的 增加 ， 这 样 会 使 服务 占 受 到 相当 大 的 威胁 ， 一旦 被 利用 绥 冲 区 洲 出 漏洞 ， 就 可 
以 控制 整个 系统 。 为 了 进一步 提高 系统 安全 性 ，Linux 内 核 引 入 chroot 机 制 ，chroot 是 内 核 中 的 
一 个 系统 调用 ， 可 以 通过 调用 函数 库 的 chroot 函 数 ， 来 更 改革 个 进程 所 能 见 到 的 根 目录 。 


1. “监牢 ”的 技术 特点 


chroot 机 制 即将 菜 软 件 运行 限制 在 指定 目录 中 ， 保 证 该 软件 只 能 对 该 目录 及 其 子 目 录 的 文 
件 有 所 动作 ， 从 而 保证 整个 服务 占 的 安全 。 在 这 种 情况 下 ， 即 使 出 现 黑 客 或 者 不 法 用 户 通 过 该 
软件 破坏 或 被 侵入 系统 ，Linux 系 统 所 受 的 损坏 也 仪 限 于 该 设 定 的 根 目录 , 而 不 会 影响 到 整个 系 
统 的 其 他 部 分 。 

将 软件 chroot 化 的 一 个 问题 是 该 软件 运行 时 需要 的 所 有 程序 、 配 置 文件 和 库 文 件 都 必须 事 
先 安装 到 chroot 目 孙 中 ， 通 稍 称 这 个 目录 为 chroot “监牢 ”。 如 果 在 “监牢 ”中 运行 httpd， 那 么 
用 户 根本 看 不 到 Linux 文 件 系统 中 那个 真正 的 目录 ， 从 而 保证 了 Linux 系 统 的 安全 。 

在 使 用 该 技术 的 时 候 ， 一 般 情 况 下 需要 事先 创建 目 孙 ， 并 将 守护 进程 的 可 执行 文件 httpd 复 
制 到 其 中 。 同 时 ， 由 于 httpd 需 要 儿 个 库 文 件 ， 所 以 需要 把 httpd 程 序 依 赖 的 儿 个 lib 文 件 也 同时 找 
贝 到 同一 个 目录 下 ， 因 此 手工 完成 这 一 工作 是 非 弟 麻 烦 的 。 竺 运 的 是 ， 用 户 可 以 通过 使 用 开源 
的 Jail 软 件 包 来 帮助 简化 chroot“ 监 牢 ” 建 立 的 过 程 。 

2. 安装 Jail 软件 

Jaill 官 方 网 站 是 : http:/www.jmcresearch.com/， 其 最 新 版 本 : jail 1.9a.tar.gz. B ^6 MA SET 
http://www.jmcresearch.com/static/dwn/projects/jail/jail 1.9a.tar.gz 将 其 下 载 , 然后 执行 以 下 命令 进 
行 源 代码 包 的 编译 和 安装 : 


Er a S cete ec eZ 

























































































Todea tl 


#make 


3. 使 用 Jail 创建 chroot 监牢 


Jail 软 件 包 提供 了 几 个 Perl 脚 本 作为 其 核心 命令 ， 包 括 mkjailenv、addjailuser 和 addjailsw， 它 
们 位 于 解压 后 的 目录 jaiybin 中 。 这 几 个 命令 的 基本 用 途 如 下 。 

» mkjailenv: 用 于 创建 chroot “监牢 ”目录 , 并 且 从 真实 文件 系统 中 拷贝 基本 的 软件 环境 。 

» addjailsw: 用 于 从 真实 文件 系统 中 拷贝 二 进 制 可 执行 文件 及 其 相关 的 其 他 文件 (包括 库 

文件 、 辅 助 性 文件 和 设备 文件 ) 到 该 “监牢 ”中 。 
= ”addjailuser: 创建 独 的 chroot“ 监 牢 ” 用 户 。 
采用 Jail 创 建 监 牢 的 步骤 如 下 。 
(1) 首先 需要 集 止 目前 运行 的 httpd 服 务 , 然后 建 并 chroot 目 录 , 命令 如 下 。 该 命令 将 chroot 
日 录 建 立 在 路 径 /root/chroot/httpd 下 : 
Me stop 








4t mkjailenv /root/chroot/httpd 
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kjailenv 
PONE nE eb a e Toscenisia enne devenel cupis E) 
http://www.gsyc.inf.uc3m.es/-assman/jail/ 


Juan M. Casillas «assmandgsve.wrmtoue3smves- 


Making chrooted environment into /root/chroot/httpd 
DoD cascos sU 
POTNO E ocen c mec) 
Dom Se ne el 
DO Stems DID 
DONGE 


(2) 为 “监牢 ”添加 httpd 程 序 ， 命 令 如 下 : 
esce uw a SLE oOOb abt d aub Sa Aa oe 


addjailsw 
CE 
http://www.gsyc.inf.uc3m.es/-assman/jail/ 


guarantee sque Sa nmeoe ve Ine US meos > 


Guessing /usr/sbin/httpd args(0) 


人 


Done. 


在 上 述 过 程 中 , HP INSERERE fes DNA Jail H ddi frhttpd H $U RS Pe XE 














而 几乎 所 有 基于 共有 圣 库 的 二 进 制 可 执行 文件 者 需要 上 述 的 儿 个 库 文件 。 





G) 将 相关 文件 找 贝 到 “监牢 ”的 相关 目录 中 ， 命 令 如 下 : 


* mkdir -p /root/chroot/httpd/etc 
I1 OIN ice EDO M eot. ^et oot Alps see 


o o o o o o 


添加 后 的 目录 结构 如 下 : 
# 11 
AW 56 


drwxr-xr-x coou coor 4096 003-79 13940-6953 


drwxr-xr-x coot roor 4096 03=23 13:46 erc 


drwxr-xr-x roor roort 4096 03-23 13:46 lib 


drwxr-xr-x root root 4096 03-23 13:46 selinux 
drwSrwXxrwx 人 ER 


drwxr-xr-x coot roort 4096 03=23 13:46 usr 


C) A FN» Y SY C h2 


drwxr-xr-x coor Coor 4096 03-23 135546 var 
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(4) 重新 启动 httpd， 并 使 用 ps 命令 检查 httpd 进 程 ， 发 现 该 进程 已 经 运行 在 “监牢 ”中 ， 

ll Pr: 

* ps -aux | grep httpd 

人 

POOL 9546 UIS Dn SIUS JE ILL Sep S JS n Drs 
JB she eter bau agis eh cene a 

POOT Soc) E DAG A Rosi disco) SON 
OOE eo ee htt EI 

apache 3 DT IA 49388 ODIO $ WE TSA, (EL 
We 

apache Se ss | 49388 OON 5 ETE QOL 
"voc busco. oe eau el 

apache Sono Qe de 49388 oo) odo TR $ Jet Qe 
PEO Clanetetene altes s] ojo lA Dop 

apache 919/97 [ss Jd 49388 OON S JEN QUOND 
"oot OOE dts EE bI 

apache SOS (S, dd 49388 GO $ WE Sae A, DETO 
lee oo re ee el a ee 
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Web 系统 安全 架构 防护 要 点 


7.10.1 Web 系统 风险 分 析 
从 风险 发 生 的 位 置 来 看 ， 企 业 Web 网 站 系统 主要 面临 以 下 两 类 安全 风险 。 
1. 用户 侧 和 传输 网 络 侧 


用 户 侧 和 传输 网 络 侧面 临 的 风险 如 下 。 

(1) 恶意 用 户 采 用 黑客 工具 构造 恶 音 报 文 对 雄 露 在 公 网 的 网 上 系统 进行 拒绝 服务 攻击 。 

(20 恶意 用 户 通 过 Web 浏 览 融 的 登录 界面 对 合法 用 户 的 用 户 名 和 密码 进行 狂 测 ， 从 而 冒 
充 合法 用 户 进 行 网 页 访问 和 系统 使 用 。 

(3) 恶 世 用户 通 过 构造 非法 的 、 可 能 裤 网 上 系统 错误 识别 和 执行 的 代码 岁入 在 提交 的 表 
单 中 ， 引 起 不 正常 的 信息 泄露 ， 其 全 系统 骨 演 。 
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(4) 恶意 用 户 可 能 在 传输 网 络 中 通过 非法 窃取 合法 用 户 的 通信 报 文 ， 从 而 获得 本 不 应 访 
获得 的 敏感 信息 。 

(5) 用 户 被 引导 进入 其 他 的 非法 网 站 ， 如 现在 流行 的 钓鱼 网 站 (phishing) 等 等 ， 从 而 在 
不 知情 的 情况 下 泄露 个 人 机 密 信息 ， 造 成 经 济 损失 。 








2. 系统 服务 器 侧 


系统 服务 豆 侧 面临 的 风险 如 下 。 

(1) 面临 来 目 用 户 侧 的 拒绝 服务 攻击 、 分 布 式 拒绝 服务 攻击 。 

(2) 面临 在 遭受 攻击 后 ， 由 于 服务 器 侧 网 络 由 构 划分 和 隔离 措施 不 严谨 ， 可 能 造成 “要 
朋 效 应 ”， 整 个 服务 右 机 群 的 次 效 ， 比 如 ， 由 于 Web 服 务 需 次 痪 ， 导 致 后 合 数据 库 服务 器 、 管 
理 服务 融 等 的 连锁 凑 痪 。 

(3) 面临 由 于 服务 右 侧 的 软件 实现 不 合理 ， 尤 其 是 数据 库 权 限 和 视图 等 的 不 合理 ， 导 至 
用 户 的 错误 或 者 非法 输入 引起 机 窗 信 息 汇 露 或 者 是 遭受 SQL injection 攻 击 等 。 

(4) 面临 在 服务 器 遭受 攻击 后 ， 没 有 相应 的 备份 服务 需 接 管 服务 ， 造 成 服务 终 咒 ， 引 起 
用 户 业 务 体验 严重 受 损 。 

(5) 面临 在 服务 需 遭 受 攻 击 后 ， 没 有 健全 的 灾难 备份 和 恢复 措施 对 关键 的 业务 数据 及 其 
业务 进行 恢复 。 


7.10.2 方案 的 原则 和 思 


依据 网 络 安全 领域 最 为 流行 的 4A (认证 Authentication、 账 号 Account、 授 权 Authorization、 
审计 Audit) 、P2DR 模 型 (策略 Policey、 保 护 Protection、 监 测 Detection、 反 应 Response) 及 ISO 
等 主流 标准 的 要 求 ， 按 Web 系 统 的 应 用 需求 ， 切 实 保证 运 维 的 网 站 能 够 从 根本 上 人 解决 黑客 攻击 
防御 和 事后 的 审计 和 追踪 问题 ， 并 特别 强调 网 站 的 安全 设计 和 防护 原则 从 天 生 上 束 有 应 对 黑客 
攻击 的 “人 免疫 力 ”， 所 以 从 五 大 方面 进行 考虑 。 

d) 网 络 拓扑 结构 : 合理 的 拓扑 结构 能 够 有 效 地 抑制 黑客 攻击 ， 即 便 在 黑客 攻击 后 也 能 
使 得 攻击 的 影 啊 降 低 到 最 小 程度 。 

(2) 安全 原则 : 用 户 认 证 、 账 号 党 理 、 加 密 传输 等 原则 的 综合 部 普 和 使 用 ， 能 从 根本 上 
多 层面 地 增强 网 站 的 健壮 性 、 数 据 的 完整 性 和 可 对 性 ， 从 而 保证 网 络 和 信息 安全 。 

(3) EAE: 强大 和 适时 的 审计 和 退 躁 ， 能 够 使 得 网 站 的 防御 体系 尽快 地 从 黑客 攻 
击 中 解脱 出 来 ， 完 成 对 黑客 的 追踪 ， 并 通过 相应 手段 来 增强 网 站 的 抗 攻 击 性 。 

(4) 备份 和 灾难 恢复 : 能 够 保证 在 黑客 攻击 以 及 目 然 灾 害 下 ， 网 站 系统 运 维 的 365*24*7 
小时) 不 间断 地 业务 运行 。 

(50 目 我 漏 铜 挖掘 及 防护 : 能 够 周期 性 、 目 发 地 对 Web 系 统 的 漏 铜 进行 目 我 欣 据 ， 并 根 
据 挖掘 的 漏 铜 通过 各 种 安全 机 制 和 补丁 等 方式 进行 防护 ， 以 有 效 地 避免 “和 零 日 攻击 ”等 。 

根据 上 述 原 则 ， 建 议 从 以 下 九 个 方面 进行 方案 制定 。 


1. Web 系统 用 尸 的 身份 认证 和 鉴 权 机 制 


(OD 采用 用 户 名 + 密码 验证 ， 确 认 用 户 登录 映 份 ， 并 根据 数据 库 中 预 设 的 权限 ， 向 用 户 展 
示 相 应 的 视图 和 表单 。 
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(20 对 于 重要 有 的 Web 系 统 应 用 ， 和 需要 根据 PKI 机 制 ， 验证 用 户 提 供 的 证 书 ， 从 而 对 用 户 号 份 
认证 《服务 需 对 客户 端 认 证 ) ， 并 确保 交易 的 不 可 抵赖 性 。 证 书 的 提供 可 以 采用 以 下 两 种 方式 。 
a ”文件 证 书 : 保存 在 用 户 磁 盘 和 文件 系统 上 ， 有 一 定 的 安全 风险 ， 但 是 可 以 免费 。 
mn USB 设备 存储 的 证 书 : 保存 在 USB 设备 上 ， 安 全 性 很 高 ， 但 是 目前 使 用 一 般 需 要 对 用 

户 收费 。 
2. Web 系统 数据 的 加 密 传输 和 用 户 对 Web 系统 服务 器 的 验证 


对 于 使 用 Web 浏 览 器 的 网 上 系统 应 用 ， 采 用 SSL+ 数 字 证 书 结合 的 方式 〈 即 HITPS 协 议 ) ， 
你 证 通信 数据 的 加 密 传 输 ， 同 时 也 保证 了 用 户 站 对 服务 器 器 的 认证 ， 避 免 用 户 被 冒充 合法 网 站 
的 “钓鱼 网 站 ” 欺 矣 ， 从 而 泄露 机 蜜 信 息 用 户 名 和 密码 每 ) ， 千 成 不 可 挽回 的 经 济 损失 。 


3， 基 于 用 户 账号 使 用 行为 的 日 志 记 录 及 其 审计 


系统 服务 器 侧 应 根据 账号 ， 对 用 户 的 使 用 行为 进行 详细 的 日 志 记 录 和 审计 ， 通 过 上 述 因 素 
的 日 志 记 录 ， 进 行 阶 段 性 的 审计 《时 间 间 隔 应 该 比较 小 ) ， 从 而 做 到 发 现 用 户 账 号 的 次 用 、 恶 
意 使 用 等 问题 ， 尽 早 进行 处 理 。 

4. 恶意 用 户 流量 的 检测 、 过 滤 及 阻 断 

系统 服务 器 侧 应 部 署 IDS 入 侵 检 测 系统 、IPS 入 侵 防 护 系 统 、 防 火 墙 等 设备 ， 或 者 部 署 目前 
高 效 、 流 行 的 UTM (统一 威胁 管理 ) 设备 ， 对 恶意 用 户 采 用 的 各 种 攻击 手段 进行 检测 和 防护 ， 
重点 过 滤 恶 意 流 量 、 突 发 流量 等 。 

5. 对 用 户 的 非 正 常 应 用 请 求 的 过 滤 和 处 理 

系统 的 服务 器 端 ， 尤 其 是 数据 库 服务 器 端 ， 应 该 通过 配置 和 增加 对 用 户 非 正常 应 用 请 求 的 
过 滤 和 处 理 模块 ， 以 避免 由 于 数据 库 的 自身 漏洞 未 及 时 打上 补丁 ,而 遭受 目前 流行 的 SQL 注入 
DUE. 


6. Web 系统 服务 器 侧 的 合理 子 网 划分 及 流量 分 割 


系统 服务 亏 侧 包括 大 量 的 服务 器 类 型 ， 包 括 数据 库 服务 器 、Web 服 务 器 、FTP 服 务 右 、 邮 件 
服务 右 等 ， 为 了 避免 由 于 恶意 流量 造成 的 东 种 服务 器 衣 泌 ， 而 引起 的 攻击 后 琳 扩 散 ， 并 最 终 导致 
其 他 服务 器 也 发 生 “ 雪 骨 效 应 ”， 则 需要 通过 子 网 隔离 〈 比 如 VLAN 划 分 ) 、DMZ 区 域 的 设 定 等 
方式 来 将 这 些 服 务 亏 放置 在 不 同 的 安全 域 当中 ， 做 到 流量 和 数据 的 安全 隔离 ， 从 而 将 服务 霍 站 在 
这 受 攻击 后 对 整个 业务 系统 及 其 他 内 网 资源 和 数据 造成 的 影响 尽量 控制 在 最 低 的 范围 内 。 

7. Web 系统 服务 器 侧 的 负载 均衡 及 负载 保护 机 制 

(1) 系统 面临 者 巨大 的 服务 量 ， 服 务 器 器 的 设备 基本 上 者 需要 有 多 合 服务 器 进行 业务 分 担 ， 
这 样 才能 提高 性 能 ， 避 免 处 理 瓶 贷 的 出 现 ， 因 此 ， 需 要 采用 合理 的 负载 均衡 和 负载 保护 机 人 制 。 

(2) 对 各 服务 器 的 业务 流量 进行 有 效 地 分 担 ， 可 按照 Round Robin、LRU 等 方式 来 进行 负载 
均衡 。 

(3) 负载 保护 机 制 需要 实时 地 对 每 台 服 务 器 的 CPU 资源 、 内 存 资源 等 进行 评估 ， 如 果 一 旦 
超过 设 定 的 阐 值 (80% 或 者 以 上 )〉 ， 将 马上 进行 过 载 保护 ， 从 而 保证 服务 器 自身 的 安全 。 
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8. Web 系统 服务 器 侧 的 灾难 备份 及 恢复 策略 


任何 系统 都 不 能 说 100% 的 安全 ， 都 需要 考虑 在 遭受 攻击 或 者 是 经 受 自 然 灾 害 后 的 备份 恢复 
工作 ， 需 要 着 重 考 虑 以 下 几 点 。 

(1) 选择 合适 的 备份 策略 ， 做 好 提前 备份 ， 包 括 全 备份 、 差 分 备份 、 增 量 备 份 等 。 

(2) 选择 合适 的 备份 介质 ， 包 括 磁带 、 光 盘 、RAID 磁 盘 阵 列 等 。 

(3) 选择 合适 的 备份 地 点 ， 包 括 本 地 备份 、 远 程 备份 等 。 

(4) 选择 合适 的 备份 技术 ， 包 括 NAS、SAN、DAS 等 。 

(5) 作 好 备份 的 后 期 维护 和 安全 审计 跟踪 。 


9. Web 系统 服务 器 的 安全 管理 


系统 功能 复杂 ， 业 务 数据 敏感 ， 保 密级 别 比 较 局 ， 并 且 对 不 同 管理 人 员 的 权限 、 角 色 要 求 都 
不 尽 相 同 ， 为 了 保证 安全 管理 ， 避 免 内 部 管理 中 出 现 安 全 问题 ， 建 议 作 如 下 要求 。 

(1) 严格 划分 管理 人 员 的 角色 及 其 对 应 的 权限 ， 避 免 一 权 独 揽 ， 引 起 安全 隐 吓 。 

(2) 做 好 服务 右 机 房 的 物理 条 件 管理 ， 避 免 电磁 泄漏 、 避 免 由 于 天 电 等 引起 的 故障 。 

(3) 应 做 好 服务 器 管理 员 的 账号 /口令 管理 ， 要 求 使 用 强 口令 ， 避 免 内 部 人 员 盗 用 。 

(4) ICE HR AS E] P7 PAESE, E AERA, P3 AE h RI i BEI AP EET] JE SOR H 7x 
Jo, SKITA ČRET o 

C50 CR HR AS iR AREA. MHRA H a EEM] 管理 工作 ， 便 于 审计 和 避免 由 于 安 
全 漏洞 而 遭受 到 内 部 人 员 的 攻击 。 

C6) 根据 业务 和 数据 的 机 宅 等 级 需求 ， 严 格 划 分 服务 如 的 安全 域 ， 避 多 信息 泄露 。 

(7) 网 站 漏洞 目 我 挖掘 及 防护 : 采用 漏 调 扫 描 和 欣 据 设备 ， 对 内 网 各 服务 器 进行 阶段 性 地 
扫 朱 ， 并 根据 扫描 历 得 的 风险 和 漏 调 进 行 及 时 地 修补 ， 以 实现 该 漏 调 航 黑客 使 用 之 前 进行 目 行 修 
复 的 目的 。 


7.10.3 网 络 拓扑 及 要 点 剖析 




































































1. 网 络 拓扑 
方案 的 网 络 拓 扑 如 图 7-18 


Deme 外 围 网 络 (DMZ): 内 部 网 络 
2. 部 署 要 点 解析 
, "— uH y * * * 
] ) D; cei 的 设置 m J- tj fr numis 3 EVeb rs x" 人 "t 


图 7-18 中 所 示 防 火 墙 的 设 r 
AJRU F o | T X 


”及 用 外 部 和 内 外 防火 墙 Ge | shh 





双重 设置 ， 以 切实 保障 d/a 请 
外 部 流量 进入 HTTP 反 "M i - 
向 代理 服务 器 CDMZ 区 | 

域 ) 和 内 部 网 络 前 均 通 ima 

过 安全 检测 。 图 7-18 Web 网 站 安全 防护 整体 拓扑 图 
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a ”内 部 和 外 部 防火 墙 的 使 用 应 尽量 采取 不 同 三 家 和 不 同型 号 的 防火 墙 设备 ， 以 提高 防火 
FARI I PE RE o 

2) HTTP 反 向 代理 服务 器 的 设置 

通过 设置 反 回 代理 服务 器 ， 可 以 起 到 以 下 安全 防护 作用 。 

a — Dc Pup Web 服务 器 的 卫 地 址 ， 外 部 用 户 根 本 感觉 不 到 反 回 代理 服务 器 的 存在 ， 极 大 
地 降低 网 络 内 部 Web 服务 器 被 攻击 的 风险 和 概率 。 

mn 反问 代理 服务 融 可 以 缓存 内 部 Web 服务 器 的 部 分 数据 ， 可 以 减轻 内 部 服务 器 的 负载 压 
力 ， 提 升 服务 质量 。 

a ”作为 一 个 堡 侈 主机 ， 即 使 反 回 代理 服务 器 咕 受 攻击 ， 由 于 内 外 部 防火 墙 的 设置 ， 也 不 
会 影响 到 内 部 的 网 络 服务 器 安全 。 

3) IPS 的 设置 

使 用 上 述 方法 设置 IPS， 可 以 起 到 以 下 安全 防护 和 异常 阻 断 作用 。 

a 对 从 反 向 代理 服务 器 流向 内 部 的 流量 和 请 求 在 内 部 的 入 口 端 进 行 过 滤 ， 成 为 防火 墙 后 
的 第 二 层 防护 点 ， 从 源头 保证 内 部 安全 。 

a ”对 内 网 的 异常 状况 可 以 进行 实时 的 检测 ， 即 使 有 威胁 和 异常 源 自 内 部 而 对 服务 器 发 生 
破坏 作用 ， 如 复 改 网 页 、 删 除 文件 等 ， 也 能 进行 有 效 地 监控 、 审 计 和 记录 ， 从 而 保证 
内 网 安全 。 
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EATA: 企业 基础 网 络 服务 防护 


本 章 导 读 


作为 500 强 企业 来 说 ， 提 供 必 要 的 企业 
基础 网 络 服务 是 必 不 可 少 的 。 在 FTP, NFS 
等 网 络 服务 不 断 消 亡 的 同时 ，DNS 服务 和 电 
子 邮 件 服务 却 变 得 越 来 越 重要 。 大 型 企业 有 
众多 的 服务 器 资源 和 服务 资源 ， 因 此 建设 企 
业内 部 DNS 就 变 得 非常 重 要 ; 大 型 企业 都 把 
电子 邮件 服务 当 作 仅 次 于 Web 服务 的 第 二 
重要 基础 性 服务 ， 那 么 电子 邮件 服务 器 的 搭 
建 也 是 必 不 可 少 的 。 

搭建 这 些 基 础 网 络 服务 不 是 一 件 难 事 ， 
然而 保证 这 些 基 础 网 络 服 务 的 安全 运行 则 是 
一 件 丈 手 的 事情 。 本 章 从 分 析 这 些 基 础 网 络 
服务 面临 的 安全 风险 出 发 ， 给 出 如 何 对 这 些 
H4 xt 413€ Br P IAE IRTRUR, 
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请 E 泊 和 企业 基础 网 络 服务 安全 风险 分 析 


8.1.1 企业 域名 服务 安全 风险 分 析 


DNS 系 统 用 于 命名 组 织 到 域 层次 结构 中 的 计算 机 和 网 络 服 务 。 它 主要 应 用 于 Internet 等 TCP/IP 
网 络 中 , 通过 用 户 友好 的 名 称 碍 找 计算 机 和 服务 。 当 用 户 在 应 用 程序 中 输入 DNS 名 称 时 ，DNS 服 务 
可 以 将 此 名 称 解析 为 与 之 相关 的 其 他 信息 。 可 以 说 ，DNS 服 务 堪 是 非常 关键 的 互联 网 基础 设施 。 因 
此 ， 保 证 DNS 服 务 器 及 其 提供 的 服务 安全 ， 也 是 Linux 网 络 安 全 中 的 一 个 重要 人 研究 问题 。 

在 系统 设计 方面 ，DNS 的 设计 受到 当时 条 件 的 限制 ， 因 而 存在 许多 设计 缺陷 问题 。 

(1) 单 点 故障 。DNS 采 用 层次 化 的 树 型 结构 ， 由 树叶 走向 树 根 就 可 以 形成 一 个 全 域名 (Fully 
Qualified Domain Name，FQDN) ，DNS 服 务 器 作为 该 FQDN 唯 一 对 外 的 域名 数据 库 和 对 内 部 提供 
递归 域名 得 询 的 系统 ， 因 而 其 安全 和 稳定 天 存在 单 点 故障 风险 。 

(2) 无 认证 机 制 。DNS 没 有 提供 认证 机 制 ， 















































查询 者 在 收 到 应 答 时 无 法 确认 应 答 信息 的 真 假 i 
就 容易 导致 DNS 欺 骗 。 假 设 当 提 交 给 某 个 域名 服 
务 器 的 域名 解析 请 求 的 数据 包 被 黑客 截获 ， 然 后 — 





黑客 将 一 个 虚假 的 IP 地 址 作为 应 答 信息 返回 给 请 
求 者 ， 那 么 原始 请 求 者 就 会 把 这 个 虚假 的 IP 地址 — ug = 

EN EMEKA MATE, WCRI DNS 服务 器 

骗 到 了 别处 而 连接 不 上 原本 想 要 连接 的 那个 域 

名 ， 这 样 就 导致 了 DNS 其 骗 ， 如 图 8-1 所 示 。 图 8-1 DNS 欺骗 原理 示意 

(3) 访问 量 和 维护 量 巨 大 以 及 远 距 离 集中 
式 数 据 库 。 单 个 名 字 服 务 器 不 得 不 处 理 所 有 DNS 查询 消息 ， 并 保存 所 有 因特网 主机 的 记录 ， 数 据 库 
会 相当 巨大 , 需要 为 每 台独 增 的 主机 频繁 更 狐 , 而 且 单 全 名字 服务 器 主机 不 可 能 在 所 有 请 求 得 询 的 
ZP ENL, Win fe TEH AAKE 

(4) BIND (Berkeley Internet Name Domain) 的 漏洞 : BIND 是 域名 软件 ， 它 在 提供 高 效 服务 
的 同时 也 存在 许多 的 安全 性 漏洞 。 现 已 证 明 在 BIND 版 本 4 和 8 上 存在 缺陷， 攻击 者 利用 这 些 缺 陷 
能 成 功 地 进行 DNS 欺骗 攻 击 ， 这 些 漏洞 可 以 家 利用， 并 取得 系统 最 高 权限 。 构 成 严重 威胁 的 漏洞 主 
要 有 了 两 种 : 一 种 是 绥 冲 区 洲 出 漏洞 ， 严 重 的 可 以 使 攻击 者 在 DNS 服务 器 上 执行 任意 指令 ， 如 BIND 
SIG Cached RR Ovemow DoSCCAN.2002-1219) 在 BIND 4 和 BIND 8 中 存在 一 个 远程 缓冲 溢出 缺陷 ， 
该 缺陷 使 得 攻击 者 可 以 在 DNS 服务 器 上 运行 任意 指令 。 另 一 种 是 DoS 漏 铜 ， 受 攻击 后 DNS 服务 需 不 
能 提供 正常 服务 ， 而 且 其 所 辖 的 子 网 无 法 正常 工作 。 

因此 ， 在 实际 运行 中 ， 企 业 DNS 面 临 以 下 一 些 安全 威胁 。 

(OD 内 部 攻击 : 攻击 者 在 非法 或 合法 地 控制 一 台 DNS 服 务 器 后 ， 可 以 直接 操作 域名 数据 库 ， 
修改 指定 域名 所 对 应 的 IP 为 自己 所 控制 的 主机 IP， 当 客户 发 出 对 指定 域名 的 查询 请 求 后 ,将 得 到 伪 
造 的 JP 地址 。 

(2) 序列 号 攻击 : DNS 协 议 格 式 中 定义 了 用 来 匹配 请 求 数据 包 和 啊 应 数据 包 序 列 ID， 欺 骗 者 
利用 序列 号 伪装 成 DNS 服务 器 向 客户 端 发 送 DNS 响 应 数据 包 ， 在 DNS 服务 器 发 送 的 真实 DNS 响应 
数据 包 之 前 到 达 客 户 端 ， 从 而 将 客户 疹 市 到 攻击 者 所 希望 的 网 站 ， 进 行 DNS 其 驻 。 
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(3) 信息 插入 攻击 : 攻击 者 可 以 在 DNS 应 答 报 文中 随意 添加 某 些 信息 ， 指 示 权 威 域名 服务 吉 
的 域名 及 了 P, 那么 在 被 影响 的 域名 服务 器 上 查询 该 域 的 请 求 都 会 被 转 问 攻击 者 所 指定 的 域名 服务 器 
上 去 ， 从 而 威胁 到 网 络 数据 的 完整 性 。 

(4) 绥 存 (cache) 中 毒 : DNS 使 用 超 高 速 绥 存 ， 即 当 一 个 名 字 服 务 器 收 到 有 关 域 名 和 IP 的 映 
射 信息 时 ， 它 会 将 该 信息 存放 在 高 速 绥 存 中 。 当 再 次 过 到 相同 的 映射 请 求 , 能 直接 使 用 绥 存 中 的 结 
R, 这 种 映射 表 是 动态 更 新 的 , 刷新 也 是 有 时 限 的 ,这样 假 冒 者 如 果 在 下 次 更 狐 之 前 成 功 地 修改 了 
DNS 服 务 如 上 的 映射 缓存 ， 束 可 以 进行 DNS 欺 骗 或 者 DoS (Denial of Service) 拒绝 服务 攻击 了 。 

(5) 信息 泄露 : BIND 的 默认 设置 允许 任何 人 进行 区 传送 ， 区 传送 可 能 会 造成 信息 泄露 ， 区 
传送 一 般 用 于 主 服 务 器 和 副 服务 器 之 间 的 数据 同步 , 副 服 务 器 可 以 从 主 服务 器 获取 最 新区 数据 文件 
的 副本 ,也 束 可 以 获得 整个 授权 区 域内 的 所 有 主机 信息 。 一 旦 这 些 信息 泄露 ,攻击 者 束 可 以 根据 它 
轻松 地 推测 主 服务 器 的 网 络 结构 ， 并 从 这 些 信 息 中 判断 其 功能 或 发 现 那 些 防范 措施 较 弱 的 机 器 。 

C60 不 安全 的 动态 更 新 : 随 着 动态 主机 配置 协议 DHCP) 的 出 现 ， 客 户 计算 机 由 DHCP 服 
务 器 动态 分 配 IP 地 址 ， 使 原来 手工 更 新 其 A 记录 和 PTR 记 录 变 得 很 难 管理 。 因 此 在 RFC2136 中 提 
出 了 DNS 动态 更 新 , 使 得 DNS 客 户 端 在 IP 地 址 或 名 称 出 现 更 改 的 任何 时 候 都 可 利用 DNS 服 务 器 来 
注册 和 动态 更 新 其 资源 记录 。 尽管 DNS 动 态 更 新 协议 规定 只 有 经 过 授权 的 主机 才能 动态 更 新 服务 
器 的 zone file， 但 是 攻击 者 还 是 可 以 利用 卫 坎 驹 伪 闭 成 DNS 服务 器 信任 的 主机 对 区 数据 进行 添加 、 
删除 和 替换 。 


8.1.2. ”企业 电子 邮件 服务 安全 风险 分 析 


一 般 来 说 ， 电 子 邮 件 系统 面临 以 下 几 种 安全 威胁 。 

a ”电子 邮件 系统 目 映 的 安全 问题 ， 电 子 邮 件 系统 上 自身 作为 一 个 网 络 服务 占 ， 存 在 看 配置 
和 误 操 作 上 的 安全 威胁 和 隐患 ， 如 没有 合理 配置 服务 右 的 相关 配置 文件 中 的 重要 选项 
罕 ， 极 有 可 能 造成 潜在 的 安全 隐患 。 妨 外 ， 电 子 邮 件 系 统 版 本 的 及 时 更 新 与 吾 也 影响 
到 其 安全 。 

a 垃圾 邮件 问题 ,垃圾 邮件 问题 是 当今 最 让 网 络 用 户头 疼 的 硕 疾 之 一 。 许 多 不 请 日 来 的 
志 圾 邮件 不 但 占据 网 络 带宽 ， 也 极 大 地 消耗 了 邮件 服务 硕 的 存储 资源 ， 给 用 户 市 来 非 
钊 大 的 不 便 。 如 何 应 对 该 问题 ， 征 电子 邮件 系统 面临 的 最 大 挑战 。 

s。 开放 性 中 继 的 安全 问题 : 如 果 设 置 不 合理 ， 将 直接 引起 电子 邮件 系统 的 滥用 ， 甚 至 会 
成 为 七 圾 邮件 的 温床 ， 它 可 以 次 是 电子 邮件 系统 中 的 “定时 炸 冬 ”。 
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8.2.1 正确 配置 DNS 相关 文件 


在 使 用 DNS 服务 从 之 前 ， 需 要 对 与 乙 相 关 的 配置 文件 进行 安全 配置 ， 因 而 首先 需要 了 解 这 些 
基本 文件 ， 表 8-1 详细 给 出 了 几 种 主要 的 与 DNS 有 关 的 文件 以 及 详细 描述 。 
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表 8-1 DNS 相关 配置 文件 介绍 
文件 名 称 说 明 

它 是 DNS 服务 器 的 主 文件 ， 通 过 它 可 以 设置 一 般 的 name 参数 ， 指 问 
该 服务 器 使 用 的 域 数 据 库 的 信息 源 
包含 了 Internet 根 服务 嚣 名字 和 地 址 ， 接 到 客户 端 但 询 请 求 时 ， 如 果 
Cache 中 找 不 到 ， 束 通过 根 服务 器 过 级 公 询 
localhost 区 文件 ， 用 于 将 名 学 localhost 转换 为 本 地 回 送 IP 地 址 
(127.0.0.1) 
localhost 区 反问 域名 解析 文件 ， 用 于 将 本 地 IP 地 址 《127.0.0.1) 转化 
为 回 送 方 localhost 名 字 

/var/named/name2ip.conf 用 户 配置 的 正 回 解析 文件 ， 将 主机 名 映射 为 卫 地 址 

/var/named/ip2name.conf 用 户 配 置 的 反 向 解析 文件 ， 将 IP 地 址 映射 为 主机 名 


/etc/name.conf 








/var/named/named.ca 








/var/named/localhost.zone 





/var/named/name.local 


1. named.conf 主 配置 文件 
在 使 用 named.conf 进 行 配 置 时 ， 需 要 了 解 以 下 常用 的 配置 语句 ， 如 表 8-2 Br. 


表 8-2 named.conf 主 配 文件 配置 语句 说 明 








配置 语句 Vi 明 

Zone 定义 一 个 区 
options 定义 全 局 配置 选项 
include 将 其 他 文件 包含 到 本 配置 文件 中 使 用 
controls 定义 rndc 命令 使 用 的 控制 通道 
acl 定义 基于 IP 地址 的 访问 控制 
Key 定义 授权 的 安全 窗 铀 

根据 在 实际 应 用 中 的 广泛 程度 和 重要 性 ， 下 面 我 们 独 重 对 option 语 句 和 zone 声明 的 使 用 进行 

介绍 。 
1) 使 用 option 语 句 
option 语 句 的 使 用 语法 如 下 : 
| 
a 


配置 子 句 2; 
}; 
在 上 述 语法 中 ， 其 配置 子 句 弟 用 的 主要 有 以 下 两 类 。 
a directory: 该 子 句 后 接 目 录 路 径 , 主要 用 于 定义 服务 占 区 配置 文件 的 工作 目录 , 如 /home 等 。 
a forwarders: 该 子 句 后 接 IP 地 址 ， 定 义 转发 器 。 
2) 使 用 zone 声明 
区 声明 是 主 配置 文件 中 第 用 而 且 最 重要 的 部 分 , 它 一 般 有 说 明 域 名 、 服 务 器 类 型 以 及 域 信息 
源 三 个 重要 部 分 。 它 的 语法 为 : 


ZO Oe METIDO 
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jor 


type T; 
人 
3 5); 








那么 ， 围 纸 上 述 三 个 重要 部 分 ， 区 声明 语句 有 以 下 两 关子 句 。 





type: 其 主要 有 三 种 ，master〈 说 明 一 个 区 为 主 域名 服务 器 ) 、slave《〈 说 明 一 个 区 为 畏 
助 域名 服务 器 ) 和 hint (说明 一 个 区 为 局 动 时 初始 化 高 速 绥 存 的 域名 服务 器 〉。 
file: 后 接 文 件 路 径 ， 主 要 说 明 一 个 区 的 域 信息 源 的 路 径 。 








3) 使 用 ACL《〈 访 问 控制 列表 ) 


访问 控制 列表 (ACL, Access Control List) 是 一 个 被 命名 的 地 址 匹配 列表 。 使 用 访问 控制 列 
表 可 以 使 配置 徐 单 而 清晰 ， 一 次 定义 之 后 可 以 在 多 处 使 用 ， 不 会 使 配置 文件 因为 大 量 的 王 地 址 而 
变 得 混乱 。 

要 定义 访问 控制 列表 ， 可 以 在 BIND 的 主 配 置 文件 /etc/named.conf 中 使 用 ACL 语 句 来 实现 。 
ACL 语 句 的 语法 为 : 


cu ne | 


ja 








celelr ee me 


BIND 里 默认 预定 义 了 4 个 名 称 的 地 址 匹配 列表 ， 它 们 可 以 二 接 使 用 ， 分 别 如 下 。 


Any: 表示 所 有 主机 。 

Localhost: 表示 本 机 。 

Localnets: 表示 本 地 网 络 上 的 所 有 主机 。 
None: 表示 不 匹配 任何 主机 。 








需要 注意 的 是 : ACL 古 named.conf 中 的 顶级 语句 ， 不 能 将 其 租 入 其 他 的 语句 。 要 使 用 用 户 目 
己 定义 的 访问 控制 列表 ， 必 须 在 使 用 之 前 定义 。 因 为 可 以 在 options 语 句 里 使 用 访问 控制 列表 ， 所 
以 定义 访问 控制 列表 的 ACL 语 句 应 该 位 于 options 语 句 之 前 。 

为 外 ,为 了 便于 维护 省 理 员 定义 的 访问 控制 列表 , 可 以 将 所 有 定义 ACL 有 的 语句 存放 在 早 独 的 
文件 /etcnamed.confacls 中 ， 然 后 在 主 配置 文件 /etc named.conf 中 添加 如 下 语句 : 

include "/etc/named.conf.options"; 

ZZ BIS AIERU P AINE 4T: 
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定义 了 ACL 之 后 ， 可 以 在 以 下 的 子 句 中 使 用 。 











allow-query options,zone: 指定 哪些 主机 或 网 络 可 以 查询 本 服务 需 或 区 ， 默 认 的 是 允许 
所 有 主机 进行 查询 。 

allow-transfer options,zone: 指定 哪些 主机 允许 和 本 地 服务 器 进行 域 传输 ， 默 认 值 是 允许 
和 所 有 主机 进行 域 传输 。 

allow-recursion options: 指定 哪些 主机 可 以 进行 递归 碍 询 。 如 果 没 有 设 定 ， 默 认 是 允许 
所 有 主机 进行 递归 奉 询 的 。 注 意 荣 止 一 全 主机 的 递归 奏 询 ， 并 不 能 阻止 这 人 台 主 机 碍 询 
己 经 存在 于 服务 器 绥 存 中 的 数据 。 

allow-update zone: 指定 哪些 主机 允许 为 主 域名 服务 器 提交 动态 DNS 更 新 。 默 认为 拒绝 
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任何 主机 进行 更 狐 。 
» blackhole options: 指定 不 接收 来 目 哪 些 主机 有 的 查询 请 求 和 地 址 解析 。 默 认 值 是 none. 
上 上 面 列 出 的 一 些 配 置 子 句 既 可 以 出 现在 全 局 配置 options 语 句 里 , 义 可 以 出 现在 zone 声 明 语 句 
里 ， 当 在 两 处 同时 出 现时 ，zone 声 明 语句 中 的 配置 将 会 敢 盖 全 局 配置 options 语 句 中 的 配置 。 
2. 区 文件 
区 文件 定义 了 一 个 区 的 域名 信息 ,通常 也 称 域名 数据 库 文 件 。 每 个 区 文件 部 是 由 奢 干 个 资源 
WK (Resource Records, RR) 和 区 文件 指令 所 组 成 。 
1) 资源 记录 
每 个 区 域 文件 都 是 由 SOA RR 开 始 ， 同 时 包括 NS RR。 对 于 正 向 解析 文件 还 包括 A RR MX 
RR. CNAME RR 等 等， 而 对 于 反问 解析 文件 还 包括 PTR RR. 
RR 上 共有 基本 的 格式 。 标 准 资源 记录 的 基本 格式 是 : 
[etl] IN type redata 
各 个 字 市 之 间 由 空格 或 制 表 符 分 隅 。 表 8-3 描述 了 这 些 字 段 的 含义 。 
表 8-3 标准 资源 记录 中 的 字段 
7 E 说 HB 
资源 记录 引用 的 域 对 象 名 ， 可 以 是 一 台 单 独 的 主机 ， 也 可 以 是 整个 域 
im 
DENN: 
name 默认 域 ， 可 以 在 文件 中 使 用 $ORIGIN domain 来 说 明 默 认 域 
标准 域名 或 是 以 “.” 结 束 的 域名 ， 或 是 一 个 相对 域名 
该 记录 适用 于 最 后 一 个 带 有 名 字 的 域 对 象 
ttl(time | 寿命 字段 。 它 以 秒 为 单位 定义 该 资源 记录 中 的 信息 存放 在 高 速 缓存 中 的 时 间 长 度 。 通 第 该 学 段 值 
to live) | 为 空 ， 表 示 采 用 SOA 中 的 最 小 值 也 
IN 将 该 记录 标识 为 一 个 Internet DNS 资源 记录 
标识 者 是 哪 一 类 资源 记录 
记录 类 型 功能 说 明 


用 于 将 主机 名 转换 为 IP 地址， 任何 一 个 主机 只 能 有 一 个 A 记录 


给 定 主机 的 别名 ， 主 机 的 规范 名 在 A 记录 中 给 出 
IT 


邮件 交换 记录 。 告诉 邮件 进程 把 邮件 发 送 到 为 一 个 系统 。 此 系统 
type MX (Mail eXchanger) 
j 值 知 道 如 何 将 邮件 传送 到 它 的 最 后 总 目的 地 


标识 一 个 域 的 域名 服务 器 

将 地 址 转换 为 主机 名 

SOA 记录 表示 一 个 授权 区 的 开始 。SOA 记录 后 的 所 有 信息 是 控 
制 这 个 域 的 。 每 个 配置 文件 都 必须 包含 一 个 SOA 记录 ， 以 标识 
服务 器 所 管理 的 起 始 地 方 。 配 置 文件 的 第 一 个 记录 必须 是 SOA 
记录 




















| 


[name 












































SOA (Start Of Authority) 
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+ R 说 明 
指定 与 这 个 资源 记录 有 关 的 数据 ， 数 据 字段 的 内 容 取决 于 类 型 字段 
记录 类 型 说 明 
“机 器 硬件 名 ” 
操作 系统 名 
us Preference-value 优先 级 别 数字 (数字 的 值 越 小 级 别 越 高 ) 
邮件 服务 器 名 字 
Rdata 存放 本 资料 的 主机 名 字 
管理 域 的 管理 员 的 邮件 地 址 ,因为 “@” 在 文件 中 有 特 
殊 含 义 ， 所 以 邮件 地 址 abc@xyz.com 写 为 abc.xyz.com 
本 区 信息 文件 的 版 本 号 (文件 修改 后 要 将 其 值 加 1) 








辅助 域名 服务 器 多 长 时 间 更 新 数据 库 
若 辅助 域名 服务 器 更 新 数据 失败 ， 多 长 时 间 再 斌 


基辅 助 域名 服务 器 无 法 从 主机 上 更 新 数据 ， 厦 有 的 数 
X 
í 据 何 时 失效 


若 资源 记录 栏 未 设 定 也， 则 以 这 里 提供 的 时 间 为 准 














2) 区 文件 指令 
K 8-4 列 出 了 可 以 在 区 文件 中 使 用 的 4 个 区 文件 指令 。 





表 8-4 ”区 文件 指令 
用 途 区 文件 指令 说 明 
SINCLUDE | 读 取 一 个 外 部 文件 并 包 仿 它 
用 来 创建 一 组 NS、CNAME 或 PTR 类 型 的 RR 


由 资源 记录 使 用 的 值 
sd 为 没有 定义 精确 的 生存 期 的 RR 定义 默认 的 世 值 





简化 区 文件 结构 








3. DNS 服务 器 配置 实例 
为 了 方便 谈 者 对 DNS 服务 问 配 置 文件 的 使 用 有 个 详细 的 了 解 ,下面 将 针对 一 个 实际 的 配置 文 
件 例子 来 进行 讲解 。 我 们 虚构 了 一 个 域 tsinghua.com 来 从 例 说 明 主 服务 器 的 配置 ， 下面 是 定义 
tsinghua.comJ [f] 3: Hi 25-28 [)named.conf X fF : 
// generated by named-bootconf.pl 








第 8 章 
谨 小 慎 微 : 企业 基础 网 络 服务 防护 NNENNEEENS 


One ln ve 
directory "/var/named"; 
/* 
* If there is a firewall between you and nameservers you want 
* to talk to, you might need to uncomment the query-source 
^ directive belon. Previous versions Of RIND always asked 
人 
“ Dort epa 
// query-source address * port 53; 


Id 


// a caching only nameserver config 


10 
CA DUAL a a 
ju vL ere RRINE, 


file "named.ca"; 


Zone A ESI DONUS COM 
E ocn sb ect 


Dore sc meto aee OD NE 


Zone nU DA T Ene he cR EDS 
CO master; 
rile "named. local” s 


E 


ZT le ll a 
LYOe Master; 
file "named.rev"; 


3 





上 和 面 的 例子 中 第 一 个 master 告 诉 我 们 这 是 tsinghua.com 域 的 主 服务 器 。 该 域 的 数据 是 从 
named.hosts 文 件 中 加 载 的 。 在 这 个 例子 中 , 我 们 将 文件 名 named.hosts 作 为 区 文件 名 。 第 三 个 master 
i JH In] ge TE IP db 211.132.0.0 映射 为 主机 名 的 文件 。 它 假定 本 地 服务 上 右 是 反问 域 
132.211.in-addr.arpa 的 主 服务 器 ， 该 域 的 数据 从 文件 named.rev 中 加 载 。 

除了 定义 上 述 的 主 文 件 外 ， 还 需要 定义 以 下 的 区 文件 Cvar/named/tsinghua.com) : 

人 86400 





SORIGIN tsinghua.com. 
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@ TOEP oe 
42 Sera adams) 
SH ; refresh 
15M eo qa nar 
IW ; expiry 
ISDE) ; minimum 
a0 IN NS ( 
Q IN A iR NES DIETE 


www IN A Zope 
ipis eB ZUDEM 7 SIN UNUS do: 


web IN CNAME WWW 


8.2.2 ”使 用 Dlint 工具 进行 DNS 配置 文件 检查 


Dlint 是 一 个 专门 检查 DNS 配置 文件 开放 源 代 码 的 软件 ， 用 尸 可 以 从 网 站 





http:/www.domtools.com 上 目 行 下 载 安 疫 ， 目 前 该 网 站 上 的 最 新 成 本 为 Dlint1.4.1。 需 要 注意 : 使 
用 该 软 件 前 要 求 系统 安装 文 持 Perl 语 言 和 Dig 命 令 (BIND 中 的 一 个 软件 包 ) 的 相关 软件 包 。 








Dlint 软 件 的 安装 步 又 如 下 ， 系 统 会 将 Dlint 安 疙 在 /usr/bin/ 目 录 下 。 
(1) MEKAR: 
ne el el e DISTR ECT 
(20 切换 到 解压 绾 的 目录 下 ， 执 行 安 疼 命 令 : 
ree nd di ood didt 
#make 
Dlint 主 要 针对 DNS 配 置 文件 进行 如 下 检查 。 
a 检查 配置 文件 是 人 否 存在 拼写 钳 误 。 
a ”检查 配置 文件 中 是 耕 有 A (Address) 记录 的 主机 名 称 都 有 配套 的 PTR OX HIRITIK 
的 简称 ) 记录 。 如 采 有 A 记录 的 主机 名 称 没 有 PTR， 则 配置 文件 不 能 通过 。 为 外 ，Dlint 
可 以 在 用 户 配 置 文件 中 为 A 记录 查找 丢失 的 PTR 记录 。 
a ”记录 in-addr.arpa 区 的 每 一 条 PTR 记录 是 否 有 对 应 的 A 记录 存在 , 并 以 递归 的 方式 检 得 
TX, fiv gm S In A. 
使 用 Dlint 工 具 进行 DNS 配置 文件 检查 的 运行 结果 如 下 : 
二 





























toc ees one canentem NOSE uae Ec On eo s 


A Dlint comes with ABSOLUTELY NO WARRANTY. 
S dupgscueossp1eocesobtbwarcssandeyoueeveclwcelconessowrecdastuc Dute IE 
P E under cerrar omzdaeonse mco manc Ode tark 


22 Command lines /usr/local/bin/calint ee 
et oral oe na rea a Ve 


E Oo NEE O EO al 


A2 Zr. 
28 


A^ 
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ie a ne eos le Echos 

ERROR No nane Server Tomnor for domarin localhost- oom ek 

That domain is probably not a zone. Remove the leftmost portion of the name and 
try elo ts balade 


le nee, ee ee ee Di me nie A en ee 


;; run ending: JH? 4$8?15 07:08:18 CST 2009 


3.2.3 ”使 用 命令 检验 DNS 功能 


1. nslookup 命令 


nslookup 命 令 是 用 来 验证 DNS 功能 以 及 故障 的 一 种 非常 傈 便 有 效 的 工具 ， 通 过 该 命令 可 以 对 
用 户 挫 建 的 DNS 服务 亏 或 者 是 公用 的 服务 亏 的 功能 进行 有 效 验 证 。 该 命令 不 但 可 以 在 Linux 下 使 
用 ， 而 且 也 可 以 在 Windows 系 列 操作 系统 中 使 用 。 如 采访 命令 能 够 成 功 返 回信 息 ， 也 殉 是 能 够 通 
过 域名 从 DNS 服务 融 得 到 需要 解析 的 下地 址 信息 , 或 者 通过 提供 下 地 址 信息 得 到 域名 信息 , 那么 ， 
束 表 明 该 DNS 是 正 背 运行 的 。 

下 面 的 例子 给 出 使 用 nslookup 命 令 癌 DNS 奉 询 www.sohu.com 域 名 卫 地 址 的 应 用 场景 ,验证 表 
HDNSZIBEIETS : 

/ / AE IR] Er VR] 


#nslookup www.google.com 























Note: nslookup is deprecated and may be removed from future releases. 


Comsuserouscmncosthme cuta est EI occ s SI mss ai hee Sl CELINE E 


the '-sil[ent]' option to prevent this message from appearing. 
Server: 站 
Address: 人 


Non-authoritative answer: 


www.google.com canonical name = www.l.google.com. 
www.l.google.com canonical name = www-china.l.google.com. 
Name: www-chrnevctygooglescom 


Ziele EU NEZ NES 
Name: www-china.l.google.com 
Addressa niu occid 
Name: www-china.l.google.com 
网 


/ / bn] rif 
to lookin a a 
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Note: nslookup is deprecated and may be removed from future releases. 


Concer suec Ea O ne el aS GO IC TORIS 


the '-sil[ent]' option to prevent this message from appearing. 
Server: 站 
Address: 人 


Non-authoritative answer: 


人 


AurchorcrLtcacLvye answers can boe couno) crome: 


ee 
| 
235.14.72.in-addr.arpa nameserver - ns4.google.com. 
zogedqud c qpnsdeeccsdgeenemesetvenuc-enmees goedglieecomxs 


neue cgoocbeecometecgdrneseddceescc2oe sc 
Ds Jood le com Internet address = 760739 92 1:09 
I mM i de = 0 0 
ned el ee mE de S Gm Dcos cqu 
2. dig 命令 
dig《〈 域 信息 搜索 器 ) 命令 是 一 个 用 于 询问 DNS 域名 服务 器 的 灵活 的 工具 。 它 执行 DNS 搜索 ， 
显示 从 受 请 求 的 域名 服务 器 返回 的 答复 。 多 数 DNS 管 理 员 利 用 dig 作 为 DNS 问题 的 故障 诊断 ， 
为 它 灵 活性 好 、 易 用 、 和 输出 清晰 。 虽 然 通常 情况 下 dig 使 用 命令 行 参数 ， 但 它 也 可 以 按 批 处 理 模 
式 从 文件 读 取 搜 索 请 求 。 不 同 于 早期 版 本 ，dig 的 BIND9 实现 允许 从 命令 行 太 出 多 个 查询 。 除 非 
被 告知 请 求 特定 域名 服务 器 ，dig 将 尝试 /etc/resolv.conf 中 列举 的 所 有 服务 器 。 当 未 指定 任何 命令 
行 参数 或 选项 时 ，dig 将 对 “.”( 根 ) 执行 DNS 奋 询 。 
值得 一 所 的 是 :dig 命令 比 nslookup 命 令 获 取 的 信息 更 加 评 细 和 全 和 面 ， 因 此 在 Linux 下 建议 用 
户 采 用 该 命令 蔡 代 nslookup 命 令 进 行 查 询 和 验证 DNS 的 功能 (nslookup 命 令 运 行 中 也 提供 了 “Note: 
nslookup is deprecated and may be removed from future releases.Consider using the 'dig' or 'host' 
programs instead.” 字 样 进行 提示 ) 。 
为 外 ， 鉴 于 dig 命 令 的 强大 功能 ， 它 提供 了 儿 十 个 参数 选项 供用 户 使 用 ， 上 其 体 情况 可 以 使 用 
man 命 令 进行 奋 疯 ， 这 不 是 本 书 的 重点 内 容 。 下 面 仅仅 给 出 两 个 例子 来 进行 简单 活 示 和 说 明 。 
(DD 运行 dig 命 令 获得 根 DNS 信 息 : 
tdig 



































DAE o pue DNE C 
ue bel p EOD Dem Ime 
238 GOE answer: 


EDR Ooo SOUP ta NOERPROR TAa TESI 
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m cm gcc ccu clu qu UNES S NNSIEBIH ESOS Se qc 


zo OBI IE IS EN: 
yas IN NS 


UOS WEST Gc IIO 


EDS qo NEN NS K .ROOT RVR ON E 
ls. | NS JE OUS SERVERS , NET. 
2 SET NS OSI 
25e NEN NS M.ROOT-SERVERS.NET. 
AON TIN NS GESSISSE 
ZI SSBIN NS CEOs E EVE DESI 
Zu) SEN NS A o ROOT = SBERVERS o NIET 
ZOT EEREN NS B o ROOT = SERVERS .NET. 
zd NBN NS Ii -SERVERS .NET. 
0 S| NS HAROON EE ENE 
AO | NS Lo ROOT= SERVERS o NET. 
Z POTEN NS BoBRoolgesbkBV EISE 
ZXSID dE s, EN NS I o ROOT= SERVERS o NET. 


OX DN Sd d IE Y 


DNROONM oda acp | A E RS O 

BROOT SERVERS ,NET . UG | A ipsae eim S Ev T 

Ie toO Ddbsodaee aree ode pe v PNEU A qoas zb 

peste BEEN UE VG ROUEN AAAA PAK DUIS E 
CHROOT S ERVAREN | A qe IE Ond 
Eos BIB NE EUIS ABEST A d RC C ORTUS 

四国 ES 下 区 REN 541758 IN AAAA Zo osse es ev RSS 
IROOM SERVERS S NET. dE OON E C STU Y A desse oleo e M eT) 

加 IEIOdsdaievig gota qe 452944 IN A qp oS e 

HUE DT C ERVE R e NET 人 AAAA ZOE odere CHE 
[I EXGIOUD SRY edad e EO GEO T EEN A JE Rod TAIA 
MAROONS SERVERS. NET. | A |RSS RS NUES HET 

ROON S ERVARE: 103467 TEN AAAA AOE OS OO o a 
IMEEM on MET A P0 A DAN ATTE OG 


有 
人 
人 
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MSG SIZE rcvd: 
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500 


(2) IE I ff rx www.google.com: 


#dig www.google.com 


Ig DUNGEON c oo ee 


global Eo TI OS 


Got answer: 


pene 


poc BADERS EopDcose UE bcm NORR OR Mac Sp 

22 Krlags; qz ro ra; QUERY: l; ANSWER? 5; ESSE CUN STERNE CDS 
ON ONE: 

; www.google.com. IN A 

yc ANSWER C qe 

www.google.com. (100 e Sor CER CNAME | www.l.google.com. 
www.l.google.com. E IN CHAME | www-china.l.google.com. 
www-china.l.google.com. 81 IN A st NN IO REA 
www-china.l.google.com. 81 IN A Nod Sce 
www-china.l.google.com. 81 IN A Vig d Ne eoe TID AT) 

xor IER ESSO eese CS DEDOS 

Ideo eocome dons aho, IN NS dee dose om. 
IoD em e 9S, IN NS Iur Sexo cabe cn. 

n qose om VES EOS, IN NS ee 
l.google.com. OD IN NS L.lsgoogle-com: 
kaong lerc em TODI IN NS lO dec c emt 
Techo obese ome d 9515s, IN NS ex dgoogLbeeccoms 
Ic) OOo Om». Ias S o, IN NS oy esl on 

;; ADDITIONAL SECTION: 

Sexe eoo Ces om. 66906 IN A Ue zie e 

au E goog ler com S IN A OO RIED 
DROO TES REON HOS IN A KEEN A ORS, 

Ca Oe eroi 64857 IN A pu oo Den 

da aood e C Om TSS IN A TA S a ESO 
e.l.google.com. CPI IN A 2 

iB lee ors expl = en 64805 IN A VL EcN ITA S OESRS 


JE 
Ah E 
E 8 EL 


EA: 企业 基础 网 络 服务 防护 EEEEREREENN 


人 

aeo EE VEE E IEEE (0 esu) 
人 
SS 


8.2.4 配置 辅助 域名 服务 器 进行 元 余 备 份 


辅助 服务 问 可 从 主 服 务 器 中 复制 一 整套 域 信 息 。 区 文件 是 从 主 服务 器 中 复制 出 来 的 ， 并 作为 
本 地 磁盘 文件 存储 在 辅助 服务 器 中 ， 这 种 复制 称 为 “区 文件 复制 ”。 在 辅助 域名 服务 右 中 有 一 个 
所 有 域 信息 的 完整 捞 贝 ， 可 以 有 权威 地 回答 对 该 域 的 会 询 。 因此 ， 辅 助 域名 服务 器 也 称 作 权 威 性 
服务 右 。 配 置 辅助 域名 服务 器 不 需要 生成 本 地 区 文件 ， 因 为 可 以 从 主 服 务 堪 中 下 载 该 区 文件 。 

辅助 服务 器 的 配置 Roc 的 配置 不 同 ， 它 使 用 slave 语 句 代 蕉 master 语 句 。slave 语 句 指 问 
用 作 域 信息 源 的 远程 服务 器 ， 以 巷 代 本 地 磁 副 文件 。 下面 的 named.conf 文 件 可 以 配置 tsinghua.com 
域 的 辅助 服务 占 


J emereate py nane l ooteomb el 























le el 
directory "/var/named"; 
/* 
* If there is a firewall between you and nameservers you want 
* to talk to, you might need to uncomment the query-source 
adi rect Re Delon. Previos versions cof RIND always asked 
ne OT I UND ee om Clr re 
x Dort by elei 
7. 
// query-source address * port 53; 


hg 


o 
/ a caching only nameserver config 
e 
ZO Re M NET 
(E DIC ERIS 
file "named.ca"; 


Ju 


Zo eredi cuc ome epo T 
LYOe Master; 


cile “namecl, Local"; 
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); 

| 

EDS e Lara; 

file E mec hosts; 

Incense 3s 

); 

ZODIees32  AI ee Oe | 

[Ngoc dE 

file "nasmed.rev' 

masters 2NR 2 N "s 

); 

Ceken a eE le 

secondat y VDrSw- Com A | rls 

ea 

Te tl a a ral ll 

第 一 个 slave 语 句 是 使 这 个 服务 右 成 为 vbrew.com 的 辅助 服务 右 。 它 告诉 named 从 下 地 址 为 

211.132.10.3 的 服务 器 中 下 载 tsinghua.com 的 信息 ， 并 将 其 数据 保存 在 /varnamednamed.hosts 文 件 
中 。 如 果 该 文件 不 存在 ，named 束 创造 一 个 ， 并 从 远程 服务 如 中 取得 区 数据 ， 然 后 将 这 些 数据 与 
入 独创 建 的 文件 中 。 如 有 条 存在 该 文件 ，named 婚 要 签 碍 远程 服务 藤 ， 以 了 解 该 远程 服务 左 的 数据 
是 耕 不 同 于 该 文件 中 的 数据 ， 如 果 数 据 有 变化 ， 它 就 下 载 更 新 后 的 数据 ， 用 新 数据 履 订 该 文件 的 
内 容 ; 如 来 数据 没 有 变化 ，named 束 加 载 磁 盘 文 件 的 内 容 ， 不 必 做 肤 烦 的 区 转移 工作 。 将 一 个 数 
据 库 拷贝 到 本 地 磁盘 文件 中 ， 就 不 必 每 次 引导 主机 时 都 要 转移 区 文件 ， 只 有 妆 数 据 修 改 时 ， 才 进 
行 这 种 区 文件 的 转移 工作 。 该 配置 文件 中 的 下 一 行 表 示 该 本 地 服务 占 也 是 有 反问 域 
132.211.in-addr.arpa 的 一 个 辅助 服务 器 ,而 且 该 域 的 数据 也 从 211.132.10.3 中 下 载 。 该 反问 域 的 数 
据 存 储 在 named.rev 中 。 


8.2.5 ”配置 高 速 缓 存 服务 器 缓解 DNS 访问 压力 


融 速 组 存 服务 器 可 运行 域名 服务 大 软件 , 但 是 没有 域名 数据 库 软 件 。 它 从 东 个 远程 服务 器 取 
得 域名 服务 器 每 次 租 询 的 结 有 末 ， 一 旦 取得 一 个 ， 吏 将 它 放 在 高 速 缓存 中 ， 以 后 人 租 询 相同 的 信息 时 
殴 用 和 它 予 以 回答 。 高 速 绥 存 服务 器 不 是 权威 性 服务 器 ， 因 为 它 提 供 的 所 有 信息 都 是 间接 信息 。 对 
于 局 速 缓存 服务 器 只 需要 配置 一 个 局 速 绥 存 文件 , 但 最 单 见 的 配置 还 包括 一 个 回 送 文件 ， 这 或 许 
是 最 常见 的 域名 服务 器 配置 。 

配置 高 速 缓存 域名 服务 器 很 简单 。 必 须 有 named.conf 和 named.ca 文 件 ， 通 第 也 要 用 到 
named.local 文 件 。 下 和 面 是 用 于 高 速 绥 存 服务 占 的 named.conf 文 件 的 例子 : 
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PELON 
directory "/var/named"; 
/* 


* If there is a firewall between you and nameservers you want 


Ax SE 


"OE 
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* to talk to, you might need to uncomment the query-source 

* directive below. Previous versions of BIND always asked 
MMC UOI S Sqmgeoore 5o DUD IND I re 
x Dort by default- 

a 


// query-source address * port 53; 


LL-cavcachrtngvonby nameserver config 


// a caching only nameserver config 


t 
ZO Re NET 
ie acie lai quee 


cile "named ca" s 


2 
soemmels my, 
file "named.local"; 
directory 这 一 行 告诉 named 到 哪里 去 找寻 文件 。 所 有 其 后 命名 的 文件 部 将 是 相对 于 此 目录 的 。 
该 文件 告诉 named 去 维持 一 个 域名 服务 右 啊 应 的 高 速 缓存 ， 并 利用 named.ca 文 件 的 内 容 去 初始 化 
该 蜗 速 绥 存 。 访 局 速 绥 存 初始 化 文件 的 名 字 可 以 是 任何 名 学 ， 但 一 般 使 用 warnamedmamed.ca。 
并 不 是 在 该 文件 中 使 用 一 个 hint 语 句 束 能 使 它 成 为 高 速 缓存 配置 ， 几 乎 每 一 种 服务 器 的 配置 都 要 
用 到 cache 语 句 ， 而 是 因为 没有 master 和 slave 语 句 才 使 它 成 为 一 个 高 速 缓存 配置 。 
但 是 ， 在 我 们 这 个 例子 中 却 有 一 个 master 语 句 。 事 实 上 ， 几 乎 在 每 一 个 高 速 绥 存 的 配置 文件 
中 都 有 这 一 个 语句 ， 它 将 本 地 服务 器 定义 为 目 己 的 回 送 域 的 主 服 务 器 ， 并 假定 该 域 的 信息 存储 在 
named.local 文 件 中 。 这 个 回 送 域 是 一 个 in-addr.arpa 域 (in-addr.arpa 域 用 于 指定 逆 癌 解析 ， 或 IP 地 
址 到 DNS 名 字 解 析 ) ， 它 将 地 址 127.0.0.1 映射 为 名 字 localhost。 转 换 目 己 的 回 送 地 址 对 于 大 多 数 
人 都 是 有 意义 的 ， 因 为 大 多 数 的 named.conf 文 件 都 包含 这 一 项 。 
在 大 多 数 高 速 缓存 服务 喜 的 配置 文件 中 , 这 种 directory、master 和 hint 语 句 是 唯一 使 用 的 语句 ， 
但 也 可 以 增加 其 他 的 语句 ，forwarders 和 slave 等 语句 都 可 以 使 用 。 


8.2.6 ”配置 DNS 负载 均衡 


DNS 负载 均衡 技术 是 在 DNS 服务 器 中 为 同一 个 主机 名 配置 多 个 了 下地 址 ， 在 应 答 DNS 奏 询 时 ， 
DNS 服务 器 对 每 个 查询 将 以 DNS 文件 中 主机 记录 的 卫 地 址 按 顺 序 返 回 不 同 的 解析 结果 , 将 客户 端 
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的 访问 引 寻 到 不 同 的 机 器 上 去 , 使 得 不 同 的 客户 问 访 问 不 同 的 服务 器 , 从 而 达到 负载 均衡 的 目的 。 
我 们 通过 下 面 的 例子 来 进行 介绍 。 现 假设 有 三 全 服务 喜来 应 对 www.tsinghua.com 的 请 求 。 在 
末 用 Linux 系 统 上 实现 起 来 比较 简单 ， 只 需 在 该 区 域 文件 的 数据 记录 中 添加 类 似 下 面 的 资源 记录 








Bl n]: 
WWW. IN A 22238 9 t Misco eed eet D 
WWW 2 IN A PIRO AE S ert p 
WWW3 IN A ZEE DE Seal leto 
WWW IN CNAME WWW. 
WWW IN CNAME WWW 2 
WWW IN CNAME WWW3 





上 述 六 条 资源 记录 的 具体 含义 为 : TEDNSHK AS S8 P 2g www.tsinghua.comi 4€ T. — 8 Hk 45-38 Ue] 
应 客户 的 访问 请 求 。 这 三 台 服 务 嚣 分别 为 wwwl、www2 和 www3， 而 它们 均 为 www 服 务 器 的 别 
名 。 因 此 ， 在 访问 www 服 务 器 时 ，DNS 服 务 器 将 依次 循环 地 将 访问 请 求 均 衡 到 三 台 服 务 兢 中 去 ， 
以 达到 负载 均衡 的 目的 。 


8.2.7 ”限制 名 字 服 务 器 递归 查询 功能 


关闭 递归 查询 可 以 使 名 字 服 务 器 进入 被 动 模式 , 它 在 癌 外 部 的 DNS 发 送 查 询 请 求 时 ,只 会 
答 上 自己 授权 域 的 查询 请 求 ， 而 不 会 缓存 任何 外 部 的 数据 ， 所 以 不 可 能 遭受 缓存 中 毒 攻 击 ， 但 是 这 
样 做 也 有 负面 的 效果 ， 降 低 了 DNS 的 域名 解析 速度 和 效率 。 

以 下 语句 仅 允 许 172.168.10 网 段 的 主机 进行 递归 查询 : 


Te OU 2 
8.2.8 限制 区 传送 ( zone transfer ) 


TA SC PRICES, SEA DNSJIRSS 48 FAME A RETI K ed. KEAR RE 
机 名 、 主 机 IP 列 表 、 路 由 器 名 和 路 由 IP 列 表 ， 其 至 包括 各 主机 所 在 的 位 置 和 硬件 配置 等 情况 都 很 容 
易 和 被 入 侵 者 得 到 在 DNS 配置 文件 中 通过 设置 来 限制 允许 区 传送 的 主机 , 从 一 定 程度 上 能 减轻 信息 汇 
露 。 但 是 ， 需 要 提醒 用 户 注意 的 是 : 即使 封锁 整个 区 传送 也 不 能 从 根本 上 解决 问题 ， 因 为 攻击 者 可 
以 利用 DNS 工具 自动 查询 域名 空间 中 的 每 一 个 卫 地 址 ， 从 而 得 知 哪些 了 地 址 还 没有 分 配 出 去 ， 利 用 
这 些 闲 置 的 耳 地 址 ， 攻 击 者 可 以 通过 IP 其 骗 伪 闭 成 系统 信任 网 络 中 的 一 台 主 机 来 请 求 区 传送 。 

以 下 语 名 仅 允 许 也 地址 为 172.168.10.1 和 172.168.10.2 的 主机 能 够 同 DNS 服务 器 进行 区 域 传输 : 


acl listr 4 





















































A E E S EEN 
2 
zo he" ESSE OT 1 
type master; 
file SEESE SONT i 


allow-transfer { list; }; 
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8.2.9 ”限制 查询 (query ) 


如 果 任 何人 都 可 以 对 DNS 服务 器 发 出 请 求 , 那么 这 是 不 能 接受 的 。 限 制 DNS 服务 器 的 服务 范 
围 很 重要 ， 可 以 把 许多 入 侵 者 拒 之 门 外 。 修 改 BIND 的 配置 文件 ，/etcmnamed.conf， 加 入 以 下 内 容 
即 可 限制 只 有 210.10.0.0/8 和 211.10.0.0/8 网 段 的 得 询 本 地 服务 器 的 所 有 区 信息 ， 可 以 在 options 
语句 里 使 用 如 下 的 allow-query 子 句 : 


GET ET 

















人 
^; 


8.2.10 25 DNS (split DNS ) 





采用 split DNS (分离 DNS ) 技术 把 DNS 系统 划分 为 内 部 和 外 部 两 部 分 ， 外 部 DNS 系统 位 于 公 
共 服 务 区 ， 负 责 正 常 对 外 解析 工作 ; 内 部 DNS 系统 则 专门 负责 解析 内 部 网 络 的 主机 ， 当 内 部 要 碍 
询 Internet 上 的 域名 时 ， 就 把 查询 任务 转发 到 外 部 DNS 服务 器 上 ,然后 由 外 部 DNS 服务 器 完成 查询 
任务 。 把 DNS 系统 分 成 内 、 外 两 个 部 分 的 好 处 在 于 Internet 上 其 他 用 户 只 能 看 到 外 部 DNS 系统 中 的 
服务 器 ， 而 看 不 见 内 部 的 服务 器 ， 而 且 只 有 内 、 外 DNS 服务 器 之 间 才 交换 DNS 查询 信息 ， 从 而 保 
证 了 系统 的 安全 性 。 并 有 旦 ， 采 用 这 种 技术 可 以 有 效 地 防止 信息 泄露 。 

在 BIND 9 中 可 以 使 用 view 语 名 进行 配置 分 离 DNS。view 语 句 的 语法 为 : 


view view name [| 

















Vee Me ue lh ee I 
leon esee ig om 


Zoe ene eee s d 


其 中 。 

a  match-clients: 该 子 句 非常 重要 ， 它 用 于 指定 谁 能 看 到 本 view。 可 以 在 view 语句 中 使 
用 一 些 选 项 。 

zone statement: 该 子 句 指定 在 当前 view 中 可 见 的 区 声明 。 如 末 在 配置 文件 中 使 用 了 
view 语句 ， 则 所 有 的 zone 语句 都 必须 在 view 中 出 现 。 对 同一 个 zone 而 言 ， 配 置 内 网 
的 view 应 该 置 于 外 网 的 view 之 前。 

下 和 耐 是 一 个 使 用 view 语 句 的 例子 ， 它 来 日 于 BIND9 的 标准 说 明文 档 ; 


view "internal" 1 























We checl mese M Ouen ps // 匹配 内 网 客户 的 访问 
CO eS; // 对 内 网 客户 允许 执行 递归 查询 
Rr nl d // 定义 内 网 客户 可 见 的 区 声明 





type master; 


pLspeswexqmpleccomehosuseenbperndglM 


LP 


view "external" { 
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matoh RII // WE Internet 客户 的 访问 
tecursion mo; // 对 Internet 客户 不 允许 执行 递归 查询 
zone "example.com" í( // 定义 Internet 客户 可 见 的 区 声明 





type master; 
file "example.com.hosts.external"; 
^; 
^; 
接 下 来 ， 需 要 在 example.com.hosts.internal 中 创建 内 网 客户 可 见 的 区 文件 ， 并 在 
example.com.hosts.external 中 创建 Internet 客 户 可 见 的 区 文件 。 访 区 文件 的 编写 可 以 根据 用 户 的 实 
际 情况 。 


8.2.11 ”隐藏 BIND 的 版 本 信息 


通常 软件 的 漏洞 和 风险 信息 是 和 特定 版 本 相关 的 , 因此 版 本 号 是 黑客 进行 攻击 所 需要 搜集 的 
最 有 价值 的 信息 之 一 。 黑 客 使 用 dig 命 令 可 以 查询 BIND 的 版 本 写 ， 然 后 黑客 束 能 够 通过 版 本 与 查 
询 这 个 软件 有 哪些 漏洞 ， 并 寻求 相应 的 工 其 来 针对 该 漏洞 进行 攻击 。 因 此 ， 随 意 公 开 BIND 版 本 
写 是 不 明知 的， 有 其 有 很 大 的 风险 。 其 实 ， 隐 叱 BIND 版 本 写 比 较 人 简单 ， 只 需要 修改 配置 文件 
/etc/named.conf， 在 options 部 分 添加 version 声 明 将 BIND 的 版 本 号 信息 和 窗 六 好 可 。 使 用 下 和 面 的 配置 
声明 将 BIND 版 本 号 窗 盖 ， 当 有 人 请 求 版 本 信息 时 ， 将 无 法 得 到 有 用 的 版 本 信息 : 


OE OI S 















































version "Unkown" 


jur 
8.2.12 ”使 用 非 root 权限 运行 BIND 


在 Linux 内 核 2.3.99 以 后 的 版 本 中 ， 可 以 以 -u 选 项 以 非 root 权 限 运 行 BIND。 该 命令 表示 以 
nobody 用 户 身 份 运行 BIND， 使 用 nobody 身 份 运行 能 够 降低 缓冲 区 注 出 攻击 所 市 来 的 危险 。 命 令 
如 下 : 


f/usr/local/sbin/named -u nobody 


8.2.13 ”删除 DNS 上 不 必要 的 其 他 服务 


网 络 服务 是 造成 系统 安全 的 重要 原因 ， 币 见 的 DoS 攻 击 、 弱 脚本 攻击 以 及 缓冲 区 洲 出 攻击 都 
是 由 于 系统 存在 网 络 服务 所 引起 的 。 在 安装 DNS 运行 所 依赖 的 操作 系统 前 ， 就 应 该 确定 在 系统 中 
运行 的 服务 的 最 小 集合 , 创建 一 个 DNS 服 务 器 系统 束 不 应 该 安装 Web、POP、gopher、 NNTP News 
等 服务 。 建 议 不 安装 以 下 软件 包 : GDX-Windows 及 相关 的 软件 包 ; 四 多 媒体 应 用 软件 包 ; 四 任何 
不 需要 的 编译 程序 和 脚本 解释 语言 : 由 任何 不 用 的 文本 编辑 器 : 加 不 需要 的 客户 程序 ; (@ 不 需要 
的 其 他 网 络 服务 。 


8.2.14 ”合理 配置 DNS 的 查询 方式 


DNS 的 碍 询 方式 有 两 种 ， 递 归 碍 询 和 迭代 奉 询 。 合 理 配 置 这 两 种 奋 询 方式 ， 能 够 在 实践 中 取 
得 较 好 的 效 末 。 
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其 中 , 递归 查询 是 最 常见 的 查询 方式 , 工作 方式 是 : 域名 服务 器 将 代替 提出 请 求 的 客户 机 (下 
级 DNS 服务 器 ) 进行 域名 查询 ， 奎 域名 服务 器 不 能 直接 回答 ， 则 域名 服务 器 会 在 域名 树 中 的 各 分 
文 的 上 下 进行 递归 人 查询， 最 终 将 返回 查询 结果 给 客户 机 ， 在 域名 服务 器 查询 期 间 ， 客 户 机 将 完 
处 于 等 待 状态 。 具 体 流 程 示 意 如 图 8-2 Hr. 

运 代 碍 询 又 称 重 指引 得 询 、 其 工作 方式 为 : 当 服 务 器 使 用 迭代 得 询 时 能 够 使 其 他 服务 器 返回 
一 个 最 佳 的 查询 点 提示 或 主机 地 址 ， 若 此 最 佳 的 查询 点 中 包含 需要 查询 的 主机 地 址 ， 则 返回 主机 
地 址 信息 ， 若 此 时 服务 器 不 能 够 直接 查询 到 主机 地 址 ， 则 是 按照 提示 的 指引 依次 查询 ， 直 到 服务 
器 给 出 的 提示 中 包含 所 需要 查询 的 主机 地 址 为 止 , 一般 的 , 每 次 指引 都 会 更 靠近 根 服务 器 (同上 )， 
会 寻 到 根 域名 服务 器 后 ， 则 会 再 次 根据 提示 问 下 会 找 。 其 体 流程 示意 如 图 8-3 Hn. 
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图 8-2 DNS 递归 查询 模式 示意 图 8-3 DNS 迭代 碍 询 模式 示意 
综合 上 面 两 点 ， 我 们 可 以 看 出 来 ， 递 归 答 询 驶 是 客户 机 会 等 竺 最 后 结 来 的 香 询 ， 而 友 代 奉 询 
是 客户 机 等 到 的 不 一 定 是 最 终 的 结 来 ， 而 可 能 是 一 个 但 询 提示 。 因 而 存在 如 下 两 个 问题 。 

= 二 级 DNS 同一 级 DNS JE uS VA fri, Ax] 72k DNS 造成 性 能 压力 ， 所 有 跨 域 会 询 都 
要 经 过 一 级 DNS 啊 应 给 对 应 的 二 级 DNS。 

= L DNS 同一 级 DNS 发 起 递归 查询 ， 再 由 一 级 向 归属 DNS 发 起 递归 的 模式 碍 询 啊 应 
会 有 一 定 延 时 。 

因此 , 有 很 多 流量 很 大 的 DNS 服务 专 茶 止 客户 机 使 用 递归 奉 询 ,用 这 种 方式 来 减轻 服务 器 的 


















































8.2.15 ”使 用 dnstop 监控 DNS 流量 








在 维护 DNS 服 务 器 时 ， 用户 往往 希望 知道 到 故 是 哪些 用 户 在 使 用 DNS 服 务 器 ， 同 时 也 希望 能 
对 DNS 状 态 查 询 做 一 个 统计 ， 以 及 时 地 知道 DNS 的 工作 情况 和 状态 。 在 传统 的 方式 下 ， 用 户 通 各 
使 用 的 是 tcpdump 等 开源 工具 来 进行 抓 包 并 通过 查看 53 交口 的 流量 来 得 看 DNS 数据 包 。 由 于 
tcpdump 并 没有 和 针对 DNS 流 量 进行 特殊 定制 ， 因 此 使 用 起 来 不 是 非常 方便 。 因此， 用 户 可 以 使 用 
专用 于 DNS 的 dnstop 工 具 查 询 DNS 服 务 右 的 状态 。 

dnstop 是 一 于 非常 优秀 的 开源 软件 ， 用 户 可 以 到 网 站 http://dns.measurement-factory.com/tools/ 
dnstop/sre/ 上 下 载 使 用 ， 目 前 该 软件 的 最 狐 版 本 为 : dnstop-20090128.tar.gz。 

由 于 该 软件 依赖 ttpdump 和 pcap 抓 包 库 (libpcap〉 对 网 络 上 传输 的 数据 包 进 行 鹤 获 和 过 小 ， 
所 以 用 户 需 要 确保 系统 安装 相应 软件 后 才能 正常 安装 和 使 用 dnstop。 通 常情 况 下 ， 这 两 种 必须 的 
库 痢 已 经 在 系统 中 预 装 好 了 ， 使 用 下 和 面 的 命令 安装 dnstop 即 可 。 

(1) f Hs ASINI ZEB: 
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rear ay a One E e Oe ea a 
(2) 切换 到 解压 目录 ， 并 使 用 configure 命 令 生成 Makefile 文 件 : 
ral el ee NA 
#./configure 
(3) 使 用 make 命 令 进行 安 疙 : 
#make 
安 猴 成 功 后 ， 可 以 得 看 通过 相应 的 网 络 接口 来 监控 DNS 网 络 流量 ， 如 下 所 未 : 
4$./dnstop -s ethO 
0 new queries, 6 total queries Tue Mar 26 19:35:23 2008 
SONT c SCENE 
JA Ie (CATONE R cpu 
2 a 
E NIE C 
在 运行 dnstop 的 过 程 中 ， 可 以 按 S 键 、D 键 、T 键 、1 8E. 2 键 ， 以 及 Ctrl+R 组 合 键 、Ctrl+X 组 
合 键 等 方式 以 交互 方式 来 显示 不 同 的 信息 。 
a S: 记录 发 送 DNS 查询 的 客户 端 卫 地 址 列表 。 
D: 记录 DNS AWHI H FRUI AS AH IP 地 址 表 。 
a T: 记录 奋 询 详细 类 型 。 
l 
2 














: doo fv m] RRA e 





: ox E) RERA. 

mn Ctrl+R: 重新 记录 。 

a Ctrl+X:， 退出 。 

更 详细 的 信息 可 以 使 用 dnstop-help 命 令 进 行 得 看 。 


EXE 企业 电子 邮件 服务 安全 防护 


8.3.1 ”安全 使 用 Sendmail Server 


从 使 用 的 广泛 程度 和 代码 的 复杂 程度 来 讲 ，Sendmail 是 一 款 很 优秀 的 邮件 服务 软件 。 几 乎 所 
有 Linux 的 默认 配置 中 都 内 置 了 这 个 软件 ， 只 需要 设置 好 操作 系统 ， 它 就 能 立即 运转 起 来 。 但 
Sendmail 的 安全 性 较 差 ， 它 在 大 多 数 系统 中 都 是 以 root 呈 份 运行 的 ， 一 旦 邮件 服务 发 生 安全 问题 ， 
将 会 对 整个 系统 造成 严重 影响 。 同 时 在 Sendmail 开 放 之 初 ，Internet 用 户 数量 及 邮件 数量 都 较 少 ， 
使 得 Sendmail 的 系统 结构 并 不 适合 较 大 的 负载 ， 对 于 高 负载 的 邮件 系统 ， 需 要 对 Sendmail 进 行 复 
杂 的 调整 。 因 此 ， 在 本 节 ， 我 们 将 详细 介绍 有 关 安 全 使 用 该 邮件 服务 器 的 方方面面 。 


1. 安装 最 新 版 本 的 Sendmail 服务 器 


要 安全 使 用 Sendmail 服 务 器 ， 需 要 下 载 和 安装 该 服务 器 的 最 独 版 本 。 用 户 可 以 从 网 站 
http:/www.sendmail.org/ 上 取得 最 新 厂 本 的 源 代 但 sendmail-8.14.3.tar.gz， 然 后 按照 如 下 步骤 进行 
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(1) HITA FME, MEEKI: 
从 

(2) 由 于 Sendmail 自 带 了 一 个 编译 程序 Build， 所 以 不 用 make 命 令 ， 执 行 以 下 命令 即 可 : 
rod Te o4 y cT 
oeus kokana d 


2. 使 用 sendmail.mc 文件 


Sendmail 的 配置 十 分 复杂 ， 其 配置 文件 是 sendmail.cf， 位 于 /etc/mail 目 录 下 。 由 于 sendmail.cf 
的 语法 深奥 难 懂 ,很 少 有 人 会 下 接 去 修改 该 文件 来 对 sendmail 服 务 占 进行 配置 。 我 们 一 般 通 过 m4 
宏 处 理 程序 来 生成 所 需 的 sendmail.cf 文 件 。 创建 过 程 中 还 需要 一 个 模板 文件 ， 系统 默认 在 /etc/mail 
目录 下 有 一 个 sendmail.mc 模 板 文件 。 

用 m4 宏 编 详 工 上 其 创建 sendmail.cf 文 件 比 较 方便 ， 而 且 不 容易 出 错 ， 更 可 以 避免 东 些 种 有 安 
全 漏 洞 或 者 过 时 的 宏 所 造成 的 破坏 。 一 个 sendmail.mc 模 板 的 大 化 内 容 如 下 : 


divert (-1)dn1 























Toe lude yh A eir 
VERO FONTO Setup TO REAd le le ll 
OST Ple ("Limuzin 


Gr 
全 
Grade 3 

ee om 

derine T OnT PEU Ee mm 

oE E EE ND COnGUIE 





下 面 介 绍 sendmail.mc 模 板 的 语法 组 成 。 
s dn: 用 来 注释 各 项 ， 同 时 dnl 命令 还 用 来 标识 一 个 命令 的 结 
a  divert(-1): 位 于 mc 模板 文件 的 顶部 ， 目 的 是 让 m4 程序 输出 时 更 加 简洁 一 些 。 
= OSTYPE (OperationSystemType): 定义 使 用 的 操作 系统 类 型 ， 显 然 这 里 应 该 用 Linux 
IRẸ OperationSystemType， 注 意 要 用 一 个 反 引 写 和 一 个 正 引 号 把 对 应 的 操作 系统 类 型 
括 起 来 。 
a define: 定义 一 些 全 局 设置 ， 对 于 Linux 系统 ， 设 置 了 OSTYPE 之 后 ， 可 以 定义 下 和 面 的 
一 些 全 局 参数 ， 如 末 不 定义 ， 就 使 用 默认 值 。 下 面 给 出 例子 : define CALIAS FILE' 
/etc/aliase ) : 定义 别名 文件 Calia file) 的 保存 路 径 ， 默 认 是 /etcwaliases; Define 
CSTATUS FILE', /etc/mail/statistics') : 定义 Sendmail 的 状态 信息 文件 。 
此 ， 用 户 可 以 根据 简单 、 直 观 的 sendmailmc 模 板 来 生成 sndmail.cf 文 件 ， 而 无 须 直 接 编辑 
sendmail.cf 文 件 。 可 以 直接 通过 修改 sendmailmc 模 板 来 达到 定制 sendmailcf 文 件 的 目的 。 这 里 介 
绍 创建 sndmailcf 文 件 的 步骤 。 
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CIO 备份 所 有 的 sendmail.cf 文 件 : 
#cP /etc/mial/sendmail.cf /etc/mail/sendmail.cf.BAK 
(2) 生成 sendmail.cf 文 件 ， 根 据 sendmail.mc 模 板 文件 产生 sendmail.cf 配 置 文 件 ， 并 导出 到 
/etc/mail/ 目 杂 下 : 


má /erc/maLl/sencmail -me > /erce/maLl/sencmail, cit 





(3) 重启 Sendmail 服务 。 
3. 使 用 Access 数据 库 


访问 数据 库 不 但 定义 了 什么 主机 或 者 下 地 址 可 以 访问 本 地 邮件 服务 器 , 而 且 也 定义 了 它们 是 
属于 哪 种 类 型 的 访问 。 在 定义 中 , 主机 可 能 会 列 出 OK、REJECT、RELAY 或 者 简单 的 通过 Sendmail 
的 出 错 处 理 程序 检测 一 个 给 定 的 邮件 错误 。 主 机 上 默认 列 出 OK， 人 允许 传送 邮件 到 主机 ， 只 要 邮件 
的 最 后 目的 地 是 本 地 主机 。 列 出 REJECT 将 拒绝 所 有 的 邮件 连接 。 如 果 市 有 RELAY 选 项 的 主机 将 
锐 允 许 通 过 这 个 邮件 服务 器 友 送 邮件 到 任何 地 方 。 

现在 一 般 Linux 发 行 版 本 中 自 带 的 Sendmail 服 务 器 都 默认 禁止 其 他 不 明 映 份 的 主机 利用 本 地 
服务 器 投递 邮件 ， 这 样 束 大 大 减少 了 被 非 读 的 主机 利用 本 地 服务 器 来 投递 坟 圾 邮件 的 可 能 。 同 样 
地 ， 对 于 合法 的 主机 ， 则 可 以 使 用 本 地 服务 融 来 投递 邮件 ， 这 束 要 对 Access 数 据 库 进行 配置 。 

/etc/mail/access.db 是 一 个 散 列 表 数 据 库 ， 是 使 用 /etc/mail/access 文 件 产 生 的 ,该 文件 为 纯 文 本 


文件 ， 其 格式 如 下 : 
地 址 操作 
其 中 ， 地 址 字段 的 格式 说 明 如 表 8-5 所 示 ， 操 作 字 段 的 说 明 如 表 8-6 所 示 。 
































表 8-5 地址 字段 格式 说 明 








地 址 字段 £ X 
domain 用 户 域 内 所 有 主机 
ip address 网 段 内 的 或 者 特定 的 主机 
use@domain 特定 的 邮件 地 址 
uer@ 用 户 名 为 user 的 邮件 

表 8-6 ”操作 字段 说 明 

操作 字段 £ xX 
OK 无 条 件 接收 或 者 发 这 
RELAY 允许 SMTP 中 继 邮 件 
REJECT 拒绝 接收 并 给 出 错误 信息 
DISCARD 丢弃 邮件 ， 但 是 不 提供 错误 信息 


下 面 给 出 使 用 上 述 地 址 和 操作 字段 修改 /etc/mailaccess 文 件 , 从 而 生成 /etc/mail/access.db 数 据 
库 的 操作 步骤 。 
CIO 使 用 vi 编辑 /etc/mail/access 文 件 ， 并 添加 以 下 内 容 : 
// 人 允许 samsung. com 的 域内 所 有 主机 使 用 服务 器 转发 邮件 


samsung.com RELAY 





第 8 章 
谨 小 慎 微 ， 企业 基础 网 络 服务 防护 M 





// 人 允许 IP 地 址 为 10.0.6.134 的 主机 使 用 服务 器 转发 邮件 
10.0.6.134 RELAY 





// 人 允许 192.168.10 网 段 内 的 主机 使 用 服务 器 转发 邮件 


RELAY 
/ /拒绝 info.com 的 域内 所 有 主机 使 用 服务 器 
LATO. COM REJECT 


(2) 存盘 退出 ， 并 用 使 用 makemap 命 令 生成 /etc/mailyaccess.db 数 据 库 即 可 : 


#makemap hash access.db «access 


4. 配置 带 SMTP 认证 的 Sendmail 服务 器 


上 面 介 绍 了 使 用 Access 数 据 库 来 管理 用 户 ,， 合 法 地 使 用 SMTP 服 务 器 进行 邮件 的 传递 。 然 而 ， 
由 于 用 户 的 不 断 增 多 ， 并 且 很 多 用 户 都 是 在 一 个 网 段 肉 ， 如 果 仅 仅 依 靠 上 述 的 Access 数 据 库 ， 则 
很 难 有 效 地 管理 SMTP 服 务 吉 的 使 用 ， 那 样 会 使 得 Access 数 据 库 规模 增 大 ， 管 理 混乱 ， 从 而 造成 
效率 降低 ， 甚 至 是 出 错 。 这 样 ， 既 不 能 保障 一 些 合法 用 户 正 弟 地 使 用 邮件 服务 器 的 open relay 功 
能 , 也 给 一 些 不 法 的 用 户 提 供 了 可 乘 之 机 , 他 们 可 以 利用 这 来 发送 一 些 垃圾 邮件 和 一 些 非法 邮件 。 
所 以 ， 非 常 有 必要 使 用 号 份 认 证 程序 库 ， 配 合 Sendmail 服 务 器 一 起 使 用 ， 对 使 用 SMTP 服 务 的 用 
户 进 行 喘 份 认证 ， 从 而 保证 该 服务 的 合法 使 用 。 

Cyrus SASL 是 Cyrus Simple Authentication and Security Layer 的 人 简写， 其 最 大 的 功能 是 为 应 用 
程序 提供 了 认证 函数 亩 。 应 用 程序 可 以 通过 疯 数 库 所 提供 的 功能 定义 认证 方式 ， 并 让 SASL 通 过 
与 邮件 服务 器 主机 的 沟通 从 而 提供 认证 的 功能 。 许 多 Linux 版 本 都 使 用 Cyrus SASL 身 份 认 证 程序 
库 ， 对 用 户 进 行 喘 份 认证 。 使 用 前 要 下 载 sasl 奋 ， 该 函数 库 提供 了 安全 认证 所 需 的 函数 ， 下 载 地 
址 为 : http://cyrusimap.web.cmu.edu/downloads.html#sasl， 目 前 网 上 最 新 版 本 为 cyrus-sasl 
-2.1.22.tar.gZ。 

下 面 详细 介绍 使 用 该 身份 认证 程序 库 配 置 带 认 证 的 sendmail 的 步骤 。 

CIO 通过 使 用 下 载 的 源 代码 安装 包 ， 进 行 如 下 安装 : 
// 解 压缩 源 代 码 安 闭 包 


cuc. Esas. eS Aeibi S a P ree 















































/ Wis HK 
ee ee 2o d 


// 预 编译 生成 Makefile 文件 


$£./configure -prefix-/usr --enable-login --with-pwcheck --with-digest 


// 编 详 


#make 
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/ /安装 模 块 
#make install 
(2) 查看 Sendmail 与 认证 相关 的 配置 : 
dicat /usr/lib/sasl/sendmail.conf 
pwcheck metod:pam 
(3) 编辑 sendmailmc， 修 改 和 认证 相关 的 配置 内 容 ， 删 除 每 行 的 dnl 即 可 : 
#cd /etc/mail 
fvi sendmail.mc 
// 取 消 如 下 行 的 注释 
TRU TO CMEC TIBERI EIER DECE iE MPS TORAN DOT er 
Terne eonun 'EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN 
PLAIN" ) amI 
(4) 使 用 m4 命令 生成 cf 文件 : 
im4 sendmail.mc » sendmail.cf 
(5) 重新 启动 Sendmail 服 务 堪 。 
C6) 测试 sasl: 
te Tel el el oe A 
NETUNIX NEWDB NIS PIPELINING SASL SCANF STARTTLS TCPWRAPPERS 


通过 上 述 六 个 步 缀 的 配置 ， 便 成 功 地 完成 了 对 带 SMTP 认 证 的 Sendmail 邮 件 服务 器 的 配置 。 
8.3.2 ”安全 使 用 Postfix 电子 邮件 服务 器 


Postfix 是 一 个 由 IBM 资 助 、Wietse Venema 负 责 开 发 的 和 目 由 软件 工程 产物 ， 它 的 目的 吏 是 为 
用 户 提 供 除 Sendmail 之 外 的 邮件 服务 嚣 选择。Postfix 在 快速 、 易 于 管理 和 提供 尽 可 能 的 安全 性 方 
面 都 进行 了 较 好 的 考 夸 。Postfix 是 基于 半 驻 留 、 互 操作 的 进程 的 体系 结构 ， 每 个 进程 完成 特定 的 
任务 ， 没 有 任何 特定 的 进程 衍生 关系 ， 使 整个 系统 进程 得 到 很 好 的 保护 。 同 时 Postfix 也 可 以 和 
Sendmail 邮 件 服 务 器 保持 莱 容 性 以 满足 用 户 的 使 用 习惯 。 

与 Sendmail 相 比 ，Postfix 最 侯 人 称道 的 地 方丈 在 于 其 配置 文件 的 可 读 性 很 蜗 。Postfix 的 主 配 
置 文件 是 /etc/postfix/main.cf。 虽 然 访 配置 文件 的 内 容 比 较 多 ， 但 其 中 大 部 分 内 容 都 是 注释 C "E" 
号 开头 的 行 ) ， 真 正 需要 目 行 定义 的 参数 并 不 多 。 然 而 ， 为 了 对 其 进行 安全 配置 ， 仍 需要 针对 某 
些 选 项 进行 细心 的 设置 。 

在 main.cf 文 件 中 ,参数 都 是 以 闫 似 变 量 的 设置 方法 来 设置 的 ,这些 参 数 的 使 用 主要 包含 两 部 
分 的 内 容 。 

a ”定义 和 声明 变量 : 例如 definename = good-better-best。 等 号 左边 是 变量 的 名 称 ， 等 号 右 

边 是 变量 的 值 。 
a 引用 变量 : 可 以 在 变量 的 前 耐 加 上 符 写 “$” 来 引用 该 变量 , 如 : myname = $ definename 
(相当 于 definename = good-better-best) . 

需要 注意 的 是 : 等 写 两 边 需 要 有 空格 学 从。 此 外 ， 如 果 和 变量 有 两 个 以 上 的 设置 值 ， 束 必须 用 
逗号 “，” 或 者 空格 符 “” ”将 它们 分 开 。 

在 辑 悉 了 上 述 变量 的 定义 和 引用 方法 后 ， 下 面 详 细 介 绍 如 何 安全 、 局 效 地 配置 Postfix 服 务 需 
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的 相关 选项 。 
1. 设置 Postfix 服务 监听 的 网 络 接口 


默认 情况 下 ，inet interfaces 参 数 的 值 被 设置 为 localhost， 这 表明 只 能 在 本 地 邮件 主机 上 寄 信 。 
如 末 邮 件 主 机 上 有 多 个 网 络 接口 ， 而 又 不 想 使 全 部 的 网 络 接 口 都 开放 Postfix 服 务 ， 束 可 以 用 主机 
名 指定 需要 开放 的 网 络 接 口 。 不 过 ,， 通 第 是 将 所 有 的 网 络 接 口 都 开放 ， 以 便 接 收 从 任何 网 络 接口 
来 的 邮件 ， 即 将 inet interfaces 参 数 的 值 设置 为 “al”， 如 下 所 示 : 


ieee TES ME 
2. 安全 设置 可 接收 邮件 的 主机 名 称 或 域名 
mydestination 参 数 非 间 重要 ， 因 为 只 有 当 发 来 的 邮件 的 收 件 人 地 址 与 该 参数 值 相 匹配 时 ， 
Postfix 才 会 将 该 邮件 接收 下 来 。 通 过 该 选项 的 设置 可 以 过 滤 挥 许多 没有 经 过 认证 和 授权 的 邮件 ， 
从 而 方 省 服务 器 的 存储 空间 ， 以 及 节省 用 户 的 邮件 处 理 时 间 。 
蔡 一 个 简单 的 例子 ， 用 户 可 以 将 该 参数 值 设置 为 如 下 : 


COCO El ESI 3T teaE 

















ee 
这 束 表 明 只 要 来 信 的 收 件 人 地 址 是 X@test.net (其 中 X 表 示 某 用 户 在 test.net 域 中 的 邮件 账户 
44) ，Postfix 都 会 接收 这 些 邮 件 。 而 除 此 之 外 的 邮件 ，Postfix 都 不 会 接收 。 


3. 安全 设置 可 转发 邮件 的 网 络 (IP 设置 ) 


有 关 安 全 设置 可 转发 邮件 的 网 络 可 以 使 用 mynetworks 参 数 来 设置 。 可 将 该 参数 值 设 置 为 所 信任 
的 某 台 主机 的 卫 地 址 ， 也 可 设置 为 所 信任 的 某 个 了 下子 网 或 多 个 了 下子 网 〈 采 用 “，” 或 者 “ ”分 隔 ) 。 
比如 ， 用 户 可 以 将 mynetworks 参 数值 设置 为 172.168.96.0/24， 则 表示 这 人 台 邮 件 主 机 只 转发 子 
网 172.168.96.0/24 中 的 客户 新 所 发 来 的 邮件 ， 而 拒绝 为 其 他 子 网 转发 邮件 : 
mynetworks —- 172.168.96.0/24 
BR f mynetworks2 Zi /b,. XE —^ FIT dcl d £e WIPE Ic B 28 X I mynetworks-style, 'E 3: 
要 用 来 放置 可 转发 邮件 网 络 的 方式 。 通 单 有 以 下 三 种 方式 。 
a class: 在 这 种 方式 下 ，Postfix 会 目 动 根据 邮件 主机 的 IP 地 址 得 知 它 所 在 的 卫 网 络 类 型 
( 即 A 类、B 类 或 是 C 类 ) ， 从 而 开放 它 所 在 的 IP 网 段 。 
a — Subnet: 这 是 Postfix 的 默认 值 ，Postfix 会 根据 邮件 主机 的 网 络 接 口上 所 设置 的 IP 地址、 
子 网 掩 人 码 来 得 知 所 要 开放 的 IP 网 段 。 
a host: 在 这 种 方式 下 ，Postfix 只 会 开放 本 机 。 
通 单 ， 用 户 一 般 不 需要 设置 mynetworks-style 参 数 ， 而 特技 议 置 mynetworks 参 数 。 如 果 对 这 
两 个 参数 都 进行 了 设置 ， 那 么 mynetworks 参 数 的 设置 有 效 。 
4. 设置 可 转发 邮件 的 网 络 〈 域 名 设置 ) 
上 面 介 绍 的 mynetworks 参 数 是 针对 邮件 来 源 的 卫 来 设置 的 ， 而 relay_ domains 参数 则 是 针对 邮 
件 来 源 的 域名 或 主机 名 来 设置 的 。 其 实 从 原理 上 来 说 是 一 致 的 , 不 过 是 区 分 了 IP 地 址 和 域名 而 已 ， 
^X, relay _ domains 还 需要 依赖 DNS 这 个 基础 设施。 
例如 ， 用 户 可 以 将 relay_domains 参 数值 设置 为 test.net， 则 表示 任何 由 域 test.net 发 来 的 邮件 都 
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会 被 认为 是 信任 的 ，Postfix 会 自动 对 这 些 邮件 进行 转发 ， 如 下 所 示 : 
ie 
那么 ， 要 使 它 能 在 实际 网 络 中 更 好 地 转发 邮件 ， 还 必须 进行 相应 的 DNS 设置 。 因 此 下 要 在 该 
网 络 的 DNS 服务 器 上 定义 一 个 主 区 域 testnet， 并 在 该 区 域 配置 文件 中 定义 以 下 记录 : 
// 定 义 邮件 服务 器 的 IP 地 址 
patrerson Cest nerc: NTA T7200 o AD 








// 定 义 邮件 服务 器 的 别名 
mari ect eE TNECNAMNE patter SoN. eee MEE, 
// 定 义 优先 级 别 


cest nert, IN MX 10 mail cest net. 


5. Postfix 使 用 SMTP 安全 认证 


如 同 前 面 所 述 的 Sendmail 服 务 亏 面临 的 邮件 转发 的 问题 ， 在 Postfix 服 务 器 中 同样 也 存在 。 为 
了 避免 这 种 情况 的 出 现 ，Postfix 默 认 不 会 对 外 开放 转发 功能 ， 而 仅 对 本 机 〈localhost) 开放 转发 
功能 。 但 是 ， 在 实际 应 用 中 ， 必 须 在 Postfix 主 配置 文件 中 通过 设置 mynetworks、relay_domains 参 
数 来 开放 一 些 所 信任 的 网 段 或 网 域 , 否则 该 邮件 服务 器 几乎 没有 什么 用 处 。 在 开放 了 这 些 所 信任 
的 网 段 或 网 域 后 ， 还 可 以 通过 设置 SMTP 认 证 ， 对 要 求 转发 邮件 的 客户 问 进 行 用 户 身 份 (用 户 账 
PZSR) 验证 。 只 有 通过 了 验证 ， 才 能 接收 该 用 户 寄 来 的 邮件 并 帮助 转发 。 同 样 ，Postfix 中 
目前 比较 第 用 的 SMTP 认 证 机 制 是 通过 Cyrus SASL 包 来 实现 的 。 

默认 情况 下 ，Postfix 并 没有 局 用 SMTP 认 证 机 制 。 要 想 让 Postfix 局 用 SMTP 认 证 ， 残 必须 对 
Postfix 的 主 配置 文件 /etc/postfix/main.cf 进 行 修改 。 用 户 需要 在 main.cf 文 件 中 添加 以 下 有 关 SMTP 
认证 的 设置 部 分 : 


mle ro ETIN CM CE 























cnp a ecd NON NE E 
Se le On Td rn le 
和 
和 
IE 
Rs 
其 中 ， 每 个 选项 的 具体 合 义 如 下 。 
= ”smtpd sasl auth enable: 指定 是 否 要 局 用 SASL 作为 SMTP 认证 方式 。 默 认为 不 局 用 ， 
这 里 必须 将 它 司 用 ， 所 以 要 将 该 参数 值 设置 为 yes。 
= smtpd sasl local domain: 如 果 采 用 Cyrus-SASL 版 进行 认证 ， 那 么 这 里 不 做 设置 。 
= smtpd recipient restrictions: 表示 通过 收 件 人 地 址 对 客户 问 发 来 的 邮件 进行 过 小 。 通 姜 
有 以 下 儿 种 限制 规则 。 
e permit mynetworks: 表示 只 要 是 收 件 人 地 址 位 于 mynetworks 参数 中 指定 的 网 
段 束 可 以 被 转发 邮件 。 
permit sasl authenticated: 表示 人 允许 转发 通过 SASL 认证 的 邮件 。 
reject_unauth_destination: 表示 拒绝 转发 含 未 信任 的 目标 地 址 的 邮件 。 
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= broken sasl auth clients: 表示 是 否 莘 容 非 标准 的 SMTP 认证 。 有 一 些 Microsoft 的 SMTP 

客户 器 采用 非 标 准 的 SMTP 认证 协议 , 只 需 将 该 参数 设置 为 yes 驶 可 解决 这 类 不 兼容 问题 。 

= smtpd client restrictions: 表示 限制 可 以 向 Postfix 发 起 SMTP 连接 的 客户 端 。 如 果 要 禁 

IERA GA ub HA m Postfix 发 起 SMTP 连接 ， 则 可 将 该 参数 值 设 置 为 
permit sasl authenticated. 

= smtpd sasl security options: H X PR bl 2 £8 X oe I] Jy aX WU RC VA ZB ICE, Vc 7J 

noanonymous， 则 表示 禁止 采用 匿名 登录 方式 。 

在 完成 上 述 设置 后 ， 必 须 使 用 命令 /etc/init.d/postfix reload 重 新 载 入 配置 文件 ， 或 使 用 命令 
letc/init.d/postfix restart 重 新 局 动 Postfix 服 务 ， 以 使 该 配置 生效 。 当 然 ， 这 两 个 命令 的 其 体 使 用 需 
要 根据 不 同 的 Linux 版 本 来 选用 。 

此 外 ， 由 于 当 Postfix 要 使 用 SMTP 认 证 时 ， 会 恋 取 /usr/lib/sasl2/smtpd.conf 文 件 中 的 内 容 ， 以 
确定 所 采用 的 认证 方式 ， 因 此 如 果 要 使 用 saslauthd 守 护 进程 来 进行 密码 认证 时 ， 束 必须 确保 
/usrlib/sasl2/smtpd.conf 文 件 中 的 内 容 为 : 

We 
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1. 常用 技术 

目前 ， 垃 圾 电子 邮件 已 成 为 人 们 最 头疼 的 问题 之 一 。 在 Linux 操 作 系 统 平台 中 ， 反 击 和 过 滤 

垃圾 电子 邮件 是 一 件 很 重要 的 工作 。 下 面 介 绍 一 些 在 Linux 中 广泛 使 用 的 防 垃 圾 邮件 技术 。 

a ”SMTP 用 户 认 证 技术 。 目 前 常见 并 十 分 有 效 的 方法 是 ， 在 邮件 传送 代理 MTA 上 对 来 日 
本 地 网 络 以 外 的 互联 网 的 发 信用 户 进行 SMTP 认证 ， 仅 人 允许 通过 认证 的 用 户 进行 远程 
转发 。 这 样 既 能 够 有 效 避 免 邮 件 传送 代理 服务 器 被 垃圾 邮件 发 送 者 所 利用 ， 又 为 出 差 
在 外 或 在 家 工作 的 员工 提供 了 便利 。 如 果 不 采 取 SMTP 认证 ， 那 么 在 不 牺牲 安全 的 前 
提 下 ， 设 立 面 癌 互 联网 的 Web 邮件 网 天 也 是 可 行 的 。 此 外 ， 如 果 SMTP 服务 和 POP3 
服务 集成 在 同一 服务 器 上 ， 在 用 户 试图 发 信之 前 对 其 进行 POP3 访问 验证 (POP before 
SMTP) 就 是 一 种 更 加 安全 的 方法 ， 但 在 应 用 的 时 候 要 考 夸 到 当前 文 持 这 种 认证 方式 的 
邮件 客户 问 程 序 还 不 多 。 

sa — X] DNS 解析。 无 论 哪 一 种 认证 ， 其 目的 都 是 避免 邮件 传送 代理 服务 器 被 垃圾 邮件 发 
送 者 所 利用 ， 但 对 于 发 送 到 本 地 的 垃圾 邮件 仍然 无 可 奈何 。 要 解决 这 个 问题 ， 最 人 简单 
有 效 的 方法 是 对 发 送 者 的 TP. 地 址 进行 逆 癌 名 学 解析 ,通过 DNS 会 询 来 判断 发 送 者 的 IP 
与 其 声称 的 名 字 是 否 一 致 ， 例 如 ， 其 声称 的 名 字 为 mx.hotmail.com， 而 其 连接 地 址 为 
20.200.200.200， 与 其 DNS 记录 不 待 ， 则 予以 拒 收 。 这 种 方法 可 以 有 效 过 涯 卸 来 目 动 态 
IP 的 垃圾 邮件 ， 对 于 某 些 使 用 动态 域名 的 发 送 者 ， 也 可 以 根据 实际 情况 进行 屏 菩 。 但 
是 上 和 面 这 种 方法 对 于 借助 Open Relay 的 垃圾 邮件 依然 无 效 。 对 此 ， 更 进一步 的 技术 是 
假设 合法 的 用 户 只 使 用 本 域 基 有 合法 互联 网 名 称 的 邮件 传送 代理 服务 右 发 送 电 子 邮 
件 。 例 如 ， 若 发 件 人 的 邮件 地 址 为 someone@yahoo.com， 则 其 使 用 的 邮件 传送 代理 服 
务 器 的 Internet 名 字 应 具有 yahoo.com 的 后 级 。 这 种 限制 并 不 符合 SMTP 协议 ， 但 在 多 
数 情况 下 是 切实 有 效 的 。 需 要 指出 的 是 ， 逆 问 名 字 解 析 要 进行 大 量 的 DNS AW. 

a ”实时 黑 名 单 过 滤 。 以 上 介绍 的 防范 措施 对 使 用 目 映 合法 域名 的 垃圾 邮件 仍然 无 效 。 对 
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此 比较 有 效 的 方法 驶 是 使 用 黑 名 单 服 务 了 。 黑 名 单 服 务 是 基于 用 户 投 诉 和 采样 积累 而 
建立 的 、 由 域名 或 全 组 成 的 数据 库 ， 最 著名 的 是 RBL、DCC 和 Razor 等 ， 这 些 数据 库 
保存 了 频繁 友 送 垃圾 邮件 的 主机 名 学 或 IP 地 址 ， 供 MTA 进行 实时 人 查询 以 决定 是 否 拒 
收 相应 的 邮件 。 但 是 ， 目 前 各 种 黑 名 单数 据 库 难 以 体 证 其 正确 性 和 及 时 性 。 例 如 ， 北 
美的 RBL 和 DCC 包 含 了 我 国 大 量 的 主机 名 宇和 了 王 地 址 ,其 中 有 些 是 早期 的 Open Relay 
造成 的 ， 有 些 则 是 由 于 误 报 造成 的 。 但 这 些 问题 运 述 得 不 到 纠正 ， 在 一 定 程 度 上 阻碍 
了 我 国 与 北美 地 区 的 邮件 联系 ， 也 妨碍 了 我 国 的 用 户 使 用 这 些 黔 名单 服务 。 

a ”日 名 单 过 小 。 日 名 单 过 小 是 相对 于 上 述 的 黑 名 单 过 小 来 说 的 。 其 建 并 的 数据 库 的 内 容 
和 墨 名 单 的 一 样 ， 但 其 性 质 是 : 库 中 存在 的 都 是 合法 的 ， 不 应 该 被 阻 晰 。 同 样 ， 访 过 
滤 方 法 存在 的 缺点 与 黑 名 单 类 似 ， 也 是 更 独 和 维护 难以 达到 实时 ， 一 些 正常 的 、 不 为 
系统 白 名 单 所 收集 的 邮件 有 可 能 被 阻 断 。 从 应 用 的 角度 来 说 ， 在 小 疙 围 内 使 用 白 名 单 
是 比较 成 功 的 。 

a 内容 过 滤 。 即 使 使 用 了 前 面 诸多 环节 中 的 技术 ， 仍 然 会 有 相当 一 部 分 二 圾 邮件 漏网 。 
对 此 情况 ， 目 前 最 有 效 的 方法 是 基于 邮件 标题 或 正文 的 内 容 过 滤 。 其 中 比较 简单 的 方 
法 是 ， 结 合 内 容 扫描 引擎 ， 根 据 超 圾 邮件 的 利用 标题 语 、 超 圾 邮件 受 共 者 的 姓名 、 电 
ih*hB5. Web 地 址 等 信息 进行 过 滤 。 更 加 复杂 但 同时 更 共 智 能 性 的 方法 是 ， 基 于 贝 叶 
Jr (Bayes) 概率 理论 的 统计 方法 所 进行 的 内 容 过 滤 ， 该 算法 最 早 由 Paul Graham 提出 
Chttp:/www.paulgraham.com/spam.html) ， 并 使 用 他 目 己 设计 的 Arc 语言 实现 。 这 种 方 
法 的 理论 基础 是 通过 对 大 量 垃圾 邮件 中 常见 关键 词 进行 分 析 后 得 出 其 分 布 的 统计 模 
型 ， 并 由 此 推算 目标 邮件 是 垃圾 邮件 的 可 能 性 。 这 种 方法 具有 一 定 的 目 适 应 、 目 学 习 
能 力 ， 目 前 已 经 得 到 了 广泛 的 应 用 。 最 有 名 的 垃圾 邮件 内 容 过 滤 是 Spamassassin， 其 使 
用 Per 语言 实现 ， 集 成 了 以 上 两 种 过 滤 方 法 ， 可 以 与 当前 各 种 主流 的 MTA 集成 使 用 。 
内 容 过 滤 是 以 上 所 有 各 种 方法 中 耗费 计算 资源 最 多 的 ， 在 邮件 流量 较 大 的 场合 ， 需 要 
配合 高 性 能 服务 喜人 使 用 。 另 外 , 当前 也 有 很 多 学 者 将 人 工 神经 网 络 、 文 持 癌 量 机 、Winnow 
算法 等 及 其 学 习 的 方法 引入 到 内 容 过 滤 垃 圾 邮件 的 研究 中 来 ， 并 且 取 得 了 很 好 的 效果 。 

2. 设置 Sendmail 防范 垃圾 邮件 


1) 限制 邮件 转发 区 域 
所 谓 Relay 束 是 指 别 人 能 使 用 提供 该 功能 的 SMTP 邮 件 服务 右 给 任何 人 发 信 , 这 样 别有用心 的 
坪 圾 发 送 者 就 可 以 使 用 这 台 邮 件 服务 器 大 量 发 送 垃圾 邮件 ， 而 最 后 别人 投诉 的 不 是 垃圾 友 送 者 ， 
而 是 这 合 服务 需 , 因此 必须 限制 Relay 这 项 功能 。 从 8.9 版 本 开始 , 默认 的 是 不 允许 邮件 转发 (mail 
relay) 的 。 最 简单 的 允许 邮件 转发 的 方法 是 在 文件 /etc/mailrelay-domains 中 进行 设置 。 访 文件 中 
列 出 的 域名 内 的 信件 都 允许 通过 本 地 服务 器 进行 邮件 转发 。 
为 了 更 精确 地 设置 ， 可 以 在 sendmailmc 中 添加 以 下 几 个 参数 允许 被 用 来 设置 邮件 转发 。 
= FEATURE (relay hosts only) : 通常 情况 下 ， 在 文件 /etc/mail/relay-domains 中 列 出 的 
域名 的 主机 都 允许 通过 本 地 机 转 友 ， 而 该 设置 指定 必须 罗列 出 每 个 允许 通过 本 机 转发 
邮件 的 主机 。 
= FEATURE (relay entire domain) : 该 参数 指示 允许 所 有 本 地 域 通过 本 机 进行 邮件 转发 。 
= FEATURE (access db) : 该 参数 指定 利用 哈 希 数据 库 /etc/mailaccess 来 决定 是 否 人 允许 
某 个 主机 通过 本 地 进行 邮件 转发 。 
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a FEATURE (blacklist recipients) : 咎 该 参数 被 设置 ， 则 在 决定 是 人 否 允 许 东 个 主机 转发 
邮件 时 同时 得 看 邮件 发 送 者 地 址 和 邮件 接收 者 地 址 。 
= FEATURE (rbl) : 人 允许 基于 maps.vix.com 由 黑 名 单 〈Realtime Blackhole List) 进行 邮 
件 拒绝 ， 以 防范 垃圾 邮件 。 
= FEATURE (accept unqualified senders) : 允许 接收 发 送 者 地 址 不 包括 域名 的 邮件 ， 例 
如 user， 而 不 是 user@B.NET。 
= FEATURE (accept unresolvable domains) : 通常 来 讨 ，Sendmail 拒绝 接收 发 送 者 邮件 
地 址 指定 的 主机 通过 DNS 不 能 解析 的 邮件 ， 而 该 参数 允许 接收 这 种 邮件 。 
a FEATURE (relay based on MX) : 该 参数 允许 转发 邮件 接收 者 地 址 的 MX 记录 指 问 
本 地 的 邮件 ， 例 如 ， 本 地 接收 到 一 个 发 送 目的 地 址 为 user@b.com 的 邮件 ， 而 b.com 3X, 
名 的 MX 记录 指 回 了 本 地 机 器 ， 则 本 地 机 需 束 允许 转发 该 邮件 。 
2) 关闭 Sendmail 的 Relay 功 能 
如 条 不 想 进 行 细 致 的 Relay 限 制 ， 则 可 以 采用 关闭 该 功能 的 方法 达到 安全 的 目的 。 其 方法 就 
是 ,到 Linux 服 务 需 的 /etc/mail 目 录 编 辑 access 文 件 , 去 挥 “*relay ”之 类 的 设置 , 只 留 “localhost relay” 
和 “127.0.0.1 relay” 两 条 即 可 。 最 后 特别 注意 ， 修 改 access 文 件 后 还 要 使 用 命令 使 修改 生效 : 
tmakemap hash access.db < accesso 
3) 在 Sendmail 中 添加 RBL 功 能 
RBL (Realtime Blackhole List) 是 实时 黑 名单 。 国 外 有 一 些 机 构 提供 RBL 服 务 ， 和 常用 的 RBL 
HA XH firelays.ordb.org. dnsbl.njabl.org. bl.spamcop.net. sbl.spamhaus.org. dun.dnsrbl. net 
和 dnsbl.sorbs.net。 人 查询 和 删除 RBL 中 的 人 地 址 可 以 到 http://openrbl.org/ 和 http://ordb.org。RBL 将 收 
集 到 的 专 发 垃圾 邮件 的 人 P 地 址 加 入 他 们 的 黑 名 单 ， 只 要 在 Sendmail 中 加 入 RBL 认 证 功能 ， 束 会 使 
邮件 服务 需 在 每 次 收 信和 时 都 和 目 动 到 RBEL 服 务 咒 上 去 得 实 ， 如 果 信 件 来 源 于 关 名 单 ， 则 Sendmail 会 
拒 收 邮件 ， 从 而 使 用 户 少 受 垃 圾 邮件 之 苦 。 在 Sendmail 中 添加 RBL 认 证 ， 需 要 对 sendmailmc 添 加 
以 下 内 容 : 
TEANO se on p el el oe edad le le do a ee e SISSE D. 
最 后 执行 “m4 sendmail.mc>sendmail.cf” 和 “service sendmail restart ”两 条 命令 , IEB X Sendmail 
的 修改 生效 。 
4) 打开 Sendmail 的 SMTP 认 证 功能 
该 功能 的 使 用 已 经 在 前 面 一 个 小 节 专 门 做 了 介绍 ， 所 以 在 这 里 不 再 获 述 。 


3. 使 用 SpamAssassin 


SpamAssassin 会 评估 传 入 的 每 个 电子 邮件 ， 并 给 它 分 配 一 个 数字 ， 指 出 该 电子 邮件 是 垃圾 邮 
件 的 可 能 性 。 数 字 越 局 ， 该 电子 邮件 越 有 可 能 是 坟 圾 邮件 。 基 于 其 评级 ， 可 以 过 泪 电 子 邮件 。 
SpamAssassin 在 安 闭 后 就 起 作用 ， 但 可 以 修改 其 配置 文件 ， 使 其 更 好 地 满足 你 的 需要 。 

1? SpamAssassin} T4% JR HE 

SpamAssassin 包 括 spamd 守 护 进程 和 spamc 客 户 端 。 虽 然 它 包 括 SpamAssassin 实 用 工具 ， 但 
SpamAssassin 文 档 建 议 使 用 spamc 而 非 SpamAssassin 来 过 滤 邮 件 ， 因 为 Spamc 比 SpamAssassin 加 载 
得 更 快 。 当 SpamAssassin 单 独 工作 时 ，spamc 调 用 spamd。spamd 守 护 进 程 派生 子 进 程 ， 当 spamd 
运行 时 ，ps 除 了 显示 spamd 父 进程 外 还 显示 几 个 spamd 子 进程 ; 
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# ps -ef | grep spam 

E A A 0 De 2 AloubldoA sono celer MD mise oar e 
com So dq queque a calet 

qood mudsque s NR parn el 

Doored69991 66709 67 OX te OO ee color-outo sn 

spamc 实 用 工具 是 一 个 过 滤器 : 它 从 标准 输入 谈 取 每 个 电子 邮件 ， 发 送 电子 邮件 到 spamd 进 
行 处 理 , 并 把 修改 后 的 电子 邮件 写 入 到 标准 输出 。spamd 守 护 进程 使 用 多 种 技术 来 识别 垃圾 邮件 。 

= ”Headeranalysis 〈 标 题 分 析 ) : 检查 疑似 垃圾 邮件 的 标题 ， 有 些 垃 圾 邮件 被 人 采用 某 种 

技巧 处 理 后 ， 可 能 会 被 误 认 为 是 合法 的 电子 邮件 。 

=  Textanalysis 〈 文 本 分 析 ) : 检查 电子 邮件 正文 中 的 垃圾 邮件 特征 。 

a  Blacklists (HZP) : 检 枉 名 早 ， 看 看 发 件 人 人 是否 在 现 有 垃圾 邮件 发 送 者 列表 中 。 

= Database (HEE) : 检查 针对 Vipul's Razor (razor.sourceforge.net) 的 邮件 签名 ， 它 

是 一 个 垃圾 邮件 跟踪 数据 库 。 

可 以 设置 邮件 服务 左上 的 SpamAssassin， 以 使 它 处 理 传 递 到 本 地 系统 的 所 有 电子 邮件 ， 然 后 
再 发 运 到 用 户 。 故 外， 每 个 用 户 可 以 从 他 们 的 邮件 客户 问 运 行 SpamAssassin。 无 论 哪 种 方式 ， 本 
地 系统 必须 运行 spamd， 并 且 必 须 通 过 该 守护 进程 使 用 spamc 过 滤 每 封 电子 邮件 。 

2) %3 SpamAssassin 

OU FEFE GRUNER) 。 

mn spamassassin 

= procmail Cr ZEFIR as L351] SpamAssassin) spamassassin init 脚本 。 

当 系 统 进入 多 用 户 模 式 时 ， 可 运行 chkconfig 来 启动 spamassassin。 


# chkconfig spamassassin on 


























司 动 spamassassin: 
# service spamassassin start 
3) 测试 SpamAssassin 
随 看 spamd 的 运行 ， 问 spamc 发 送 一 个 字符 串 可 以 但 看 其 工作 原理 : 


ee ho hh ne 





a OD VI Om A Oe SU | DS uU ODE ei com 
人 

2 opemehevedes ictum 
人 
MESS TNGSHEADERS BUE SSTNSCMWMIEDUIMI SSTNSSSUBJECTNOSEBADERSSMEESSAGE, NOSERECRIV ED, 
站 

Xoane ROLON: 

s OON RETA ora ona me Eaa a eae aa Le 

DE MIELE IDEM o oa ses 
人 
ee 


人 
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Ne UM CE ESE 
ee 
2 4 NS Dy a 
人 
S e es 
hi there 
SubDJect i SE ANM 
X-Spam-Prev-Subject: (nonexistent) 
它 首 先 会 显示 Yes， 即 认定 该 邮件 是 坟 圾 邮件 。SpamAssassin 使 用 评级 系统 ， 给 一 封 电 子 邮 
件 分 配 一 个 匹配 命中 数 。 如 宋 该 电子 邮件 收 到 的 命中 数 超过 所 需 的 数量 〈 输 认为 5.00 ， 
SpamAssassin 则 把 它 标记 为 垃圾 邮件 。 字 符 串 失败 的 原因 是 多 方面 的 ， 都 会 在 此 状态 行 上 列举 。 
以 下 列表 是 由 SpamAssassin 处 理 的 一 封 真实 垃圾 邮件 。 它 收 到 了 24.5 个 命中 ,这 几乎 可 以 肯 
定 是 垃圾 邮件 。 
X-Spam-Status: Yes, hits-24.5 required-5.0 














tests-DATE IN FUTURE 06 12,INVALID DATE TZ ABSURD, 
MSGID OE SPAM 4Z2ERO,MSGID OUTLOOK TIME, 

MSGID SPAMSIGN ZEROES,RCVD IN DSBL,RCVD IN NJABL, 
RCVD IN UNCONFIRMED DSBL,REMOVE PAGE,VACATION SCAM, 
X NJABL OPEN PROXY 


version=2 .55 


X-Spam-Level: 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 类 类 大 


X opam Checker Memon ll I (AI 0 TEE) 

X-Spam-Report: This mail is probably spam. The original message has been attached 

along with thrs report; so you can recognize or ooo similar Unwanted 

mail in future. See http://spamassassin.org/tag/ for more details. 

Content preview: Paradise SEX Island Awaits! Tropical 1 week vacations 

where anything goes! We have lots of WOMEN, SEX, ALCOHOL, ETC! Every 

mante dre meam rs sores e qselscericlee pude come ea 

Contente Smo rs tderda tis: 02d sU EDoOTIu s do regure) 

MoC DE PAM TONMZEROR (Oe Se ene le T O O eroe 
variant) 

DIDI EDENDI ED onc NEPOS cm Eme eoe ME 
exist) 

MD OE MM Tenner te neo cq 
variant) 

AOA ETONT o C A TTD nS loto iore srt TeXO DINE sS Cn erm Oy es 

REMOVE MU De TE Ot le en ee 

MoC OT MAE On Me I ke aO Ke eS omma) 
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ee 
民 攻 国生 让 册 让 生计 
BEES Echos cuc BOE ela le suse oo ul 
RCVD IN UNCONFIRMED DSBL CONES ESTO CORISIEI S) RBE? OIBecesved wra ca relay um 
puc ond eT dst em 
EEE cheeor om ee 
XO ER 
spam-source 
Ee A (ne ea eel el le 
BRB ee Ce el Oe a ed | 
x opos E ec VEE 
Subgect IDEAMI rer Ss atement 
4) 配置 SpamAssassin 
SpamAssassin 在 许多 位 置 可 三 找 配 置 文件 ， 话 细 信 息 请 参阅 SpamAssassin 手 册页 。 最 容易 使 
用 的 配置 文件 是 /etc/mail/spamassassin/local.cf， 可 以 编辑 这 个 文件 来 全 局 配置 SpamAssassin。 用户 
可 以 窗 盖 这 些 全 局 选项 并 在 ~/.spamassassin/user prefs 文 件 中 添加 目 己 的 选项 。 可 以 把 本 节 讨 论 的 
选项 放 在 这 些 文件 中 的 任何 一 个 
例如 ， 可 以 配置 SpamAssassin 来 重 写 评级 为 垃圾 邮件 的 邮件 主题 行 。 配置 文件 中 的 
rewrite header 天 键 字 可 控制 这 种 行为 。 跟 随 这 个 关键 字 的 Subject 字 告诉 SpamAssassin 重 写 主 题 
行 。 从 以 下 行 删除 # 殉 可 以 司 用 这 种 行为 : 
ne le el 
required Score 关键 字 指 定 : SpamAssassin 认 为 它 是 垃圾 邮件 之 前 一 封 电 子 邮 件 必须 获得 的 最 
低 得 分 ， 默 认 值 是 $S.00。 议 置 此 关键 字 到 一 个 更 高 的 数值 ， 驶 能 使 SpamAssassin 把 较 少 的 电子 邮 
件 标记 为 垃圾 邮件 。 
ee 
有 时 标记 为 垃圾 邮件 地 址 的 邮件 并 不 是 垃圾 邮件 , 或 者 来 自 该 地 址 的 邮件 并 不 应 该 标记 为 垃 
圾 邮件 。 使 用 whitelist_from 关 键 字 可 指定 不 应 该 被 视 为 垃圾 邮件 的 地 址 ，blacklist_from 用 于 指定 
应 始终 标记 为 垃圾 邮件 的 地 址 : 


Wise I mn mE om 


























Ore e e Om 

可 以 在 whitelist_from 和 和 blacklist_ from 行 上 指定 多 个 地 址 ， 并 用 空格 隅 开 。 每 个 地 址 可 以 包含 
通 配 从 。 使 用 whitelist_from *(@example.com 将 从 example.com 域 发 送 电 子 邮 件 的 每 个 人 列 入 日 名 
单 。 可 以 使 用 多 个 whitelist from 和 和 blacklist from 行 。 

5) 在 邮件 服务 左上 运行 SpamAssassin 

下 面 说 明 如 何在 邮件 服务 器 上 设置 SpamAssassin, 以 使 其 处 理 传递 到 本 地 系统 所 有 的 电子 邮 
件 ， 然 后 才 发 送 给 用 户 。 它 显示 了 如 何 把 procmail 设 置 为 MDA， 以 及 如 何 让 procmail 通 过 spamc 
发 送 电 子 邮 件 。 

首先 确保 MTA (sendmail) 使 用 procmail 作为 MDA。 以 下 sendmail.mc 中 的 前 两 行将 指定 
procmail 的 路 径 、 命 令 和 标志 。MAILER 行 定义 procmail 作 为 邮件 程序 。 应 该 不 必 更 改 这 些 行 。 
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ee 

PEATUR m OEC deese oves c emeexotalebdh up ceo il 

MAILER(procmail)dnl 

还 要 人 确 你 在 服务 器 系统 上 安装 procmail 软 件 包 。 接 下 来 ,如果 /etc/procmailrc 配 置 文 件 不 存在 ， 

则 需要 创建 它 ， 以 使 其 所 有 者 为 root 并 拥有 644 权限 和 下 列 内 容 。 如 果 它 已 经 存在 ， 可 从 以 下 文 
件 给 它 退 加 最 后 两 行 : 


Se 





DROPPRIVS=yes 
BL cS 
| usr/brn/spamc 
这 个 文件 的 第 一 行 确保 尽 可 能 少 使 用 特权 运行 procmail。 接 下 来 的 两 行 则 实现 了 一 个 规则 ， 
即 通 过 spamc 用 管道 传输 每 个 用 户 的 来 信 。:0 告诉 procmail 后 边 是 一 条 规则 。f 标 志 表 未 过滤 姨 ; 
Ww 标志 导 匆 procemail 等 待 该 过 小 器 来 完成 并 检查 退出 代码 ,最 后 一 行 指定 /usr/bin/spamc 实 用 工具 作 
有 了 这 个 文件 ， 访 服务 坪 收 到 的 所 有 本 地 邮件 都 通过 SpamAssassin 传 递 ，SpamAssassin 根 据 
在 全 局 配置 文件 中 的 选项 为 其 评级 。 服 务 占 系统 上 的 用 户 账户 可 以 攻 话 在 其 ~/.spamassassin/user 
_prefs 文 件 中 的 全 局 的 SpamAssassin 配 置 设 置 。 
当 在 服务 左上 运行 SpamAssassin 时 ， 电 子 邮 件 的 评级 通 利 比较 保守 ， 以 使 得 尽量 少 的 电子 邮 
件 被 标记 为 垃圾 邮件 。 设 置 required_hits 在 6 一 10 范围 内 通常 比较 合适 。 此 外 ， 不 要 自动 删除 任 
何 电 子 邮件 ， 因 为 这 会 阻止 用 户 获 得 正音 邮件 。 当 服务 器 将 邮件 标记 为 可 能 的 垃圾 邮件 时 ， 用 户 
可 以 手动 或 目 动 过 小 该 垃圾 邮件 ， 并 决定 如 何 处 理 。 
4. 客户 站 配置 垃圾 邮件 防护 功能 
1) 正确 配置 Foxmail 收 发 邮件 
在 安装 和 局 动 了 SMTP 以 及 POP 服 务 器 之 后 ， 束 可 以 使 用 其 来 收发 邮件 了 ， 由 于 命令 行 方式 
的 使 用 比较 抹 烦 和 需要 相当 的 背景 知识 ， 所 以 现在 普 衣 的 方式 是 使 用 Windows 下 的 一 些 邮件 客户 
闹 软 件 来 发 送 和 接收 邮件 。 
这 些 客户 问 软 件 主要 有 Foxmail、Outlook Express、Netscape、Eudora 和 等 ， 由 于 其 他 的 客户 六 
软件 与 Foxmail 具 有 差不多 的 功能 ， 下 和 面 主要 介绍 使 用 Foxmail 这 球 典 型 的 、 最 为 沿用 的 软件 。 访 
软件 功能 强大 ， 使 用 有 灵活、 方便 。 首 先 介绍 如 何 来 对 其 收发 邮件 的 相应 选项 进行 配置 。 
在 安 逆 好 该 软件 的 Foxmail 6.0 版 本 以 后 ， 束 可 以 按照 以 下 的 步 又 进行 配置 。 
CD 选择 并 单 击 末 单 栏 上 的 “邮箱 (B》” 选 项 ， 弹 出 下 拉 有 来 单 ， 早 击 “ 狐 建 邮箱 账户 CN) OC 
选项 ， 系 统 弹 出 “ 同 导 ”对 话 框 ， 如 图 8-4 所 示 。 问 导 将 提示 用 户 建立 狐 的 用 户 账 户 ， 
在 这 里 ， 建 立 一 个 新 的 用 户 为 patterson。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 问 导 提 示 用 户 输入 POP3 Riah Hj). WERAUELASMTPJR 
A dE, 以 方便 发 送 和 接收 邮件 ,如 图 8-5 所 示 。 这 里 POP3 服务 大 地 址 为 : pop3.test.net， 
用 户 名 为 : patterson, ZKR, SMTPHRAS aS 7J: smtp.test.net. 
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建立 新 的 用 户 帐户 TERNES 


红色 项 是 您 需要 填写 的 。 其 它 选 十 ,如 "密码 "可 在 收发 邮件 时 再 输入 。 se ee hie 
[ 必 填 ] 电子 邮件 地 址 这) : pattersonfitest.net 

















FW [po F0F3 服 劳 器 (P) : |pop3. test. net 


名 称 * 是 在 Foxnmail 中 显示 的 名 称 ， 以 区 分 不 同 的 邮件 帐户 。* 地 件 中 采用 
Ee LIBERA Eau. ERE CR ROMPE D PoP3 帐 户 各 (A): [pattersen | 




















p^ a 
LUN PERU: pattarsongtest.-tat pud ns Mail Transfer Protocol) 服 备 器 用 来 中 转发 送 
邮件 中 采用 的 名 称 @): — [patterson 黎 发 出 的 邮件 。SWTF 服 务 器 与 PF0F3 服 务 器 可 以 不 同 。 


"邮箱 路 径 " 按 默认 即 可 。 您 也 可 以 自行 指定 邮件 的 保存 路 径 。 














SWTF 服 劳 器 (S): smtp. kest.net 











邮箱 路 径 m): | 





图 8-4 Foxmail 新建 用 户 向 导 图 8-5 指定 邮件 服务 器 
(3) Hl Kn d EL 如 图 8-6 所 示 ， 
并 且 单 击 “ 完 成 ”按钮 ， 完 成 账户 的 «Pas 
iH. NIDORS. JU nima RR 
使 用 Foxmail 方 便 地 使 用 前 面 建 立 的 本 CS son) 全 co 
test.net 的 SMTP 以 及 POP3 服务 器 收 | ote GO EO a 
发 电子 邮件 了 。 
2) 配置 Foxmail 增 圾 邮件 过 滤 高 级 功能 
Foxmail 提 供 了 强大 的 垃圾 邮件 过 小 功 
能 ， 它 基本 上 集成 了 前 面 介绍 的 所 有 垃圾 邮 
件 过 滤 技 术 。 使 用 该 客户 端的 用 户 可 以 结合 图 8-6 “指定 邮件 服务 器 完成 
其 与 sendmail 邮 件 服 务 堪 高 速 使 用 , 从 而 保证 
从 一 定 程 度 上 减轻 垃圾 邮件 对 自己 的 “骚扰 ”， 有 具体 的 设置 步骤 如 下 。 
D 选择 并 单 击 荣 单 栏 上 的 “工具 (T) ”选项 ， 弹 出 下 拉 荣 单 ， 单 击 “ 反 垃圾 邮件 功能 设 
A (Z) ”选项 ， 系 统 弹出 “ 反 垃 圾 邮件 设置 ”对 话 框 ， 如 图 8-7 所 示 。 
D 切换 到 “常规 ” iii 可 以 设置 最 简单 的 垃圾 邮件 转移 处 理 功能 。 
© 切换 到 “规则 过 滤 ” 选 项 卡 ， 可 以 设置 垃圾 邮件 过 滤 的 相关 规则 ， 如 图 8-8 所 示 。 


友 垃 圾 邮件 设置 
































PEIRET E 


(UNE | nane | 黑 名 单 | 白 名 音 常规 ANRE | 贝 叶 斯 过 小 | 黑 名 单 | Bes 


接收 邮件 中 被 判定 为 垃圾 邮 件 的 自动 转移 到 垃圾 邮件 箱 QU mmn a Tomei ERHETMH RR Hn. 
回 邮 件 被 手工 标记 为 垃圾 邮件 时 Q0 : TET 
全 转移 到 垃圾 邮件 箱 @) 


O MER 0) 








MEER 
移动 下 面 的 标记 设 定 过 滤 的 强度 。 





J 
iE ip 高 
过 滤 强 度 设 定 越 高 ， 邮件 被 判定 汶 垃 圾 邮件 的 可 能 性 越 太 。 























图 8-7” 反 垃圾 邮件 功能 设置 图 8-8 ”规则 过 渡 
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O 切换 到 “ 贝 叶 斯 过 滤 ” 选项 卡 ， 可 以 设置 基于 贝 叶 斯 人 工 智 能 方法 的 垃圾 邮件 过 滤 的 相 
天 方法 , 通过 对 现 有 用 户 标 记 的 邮件 的 学 习 , Foxmail 可 以 学 习 到 垃圾 邮件 具有 的 关键 学 、 
IP 地 址 、 域 名 等 信息 ， 从 而 在 邮件 到 来 后 ， 及 时 地 、 目 动 地 为 用 尸 进行 标记 和 判别 ， 减 


少 用 户 的 处 理 时 则 ， 如 图 8-9 所 示 。 
© 切换 到 “ 黑 名单 ” 选项 卡 ， 可 以 人 工 设 置 哪些 邮件 将 直接 列 入 黑 名 单 而 被 Foxmail 直 接 删 


除 ， 从 而 在 邮件 到 来 后 ， 及 时 地 、 目 动 地 为 用 尸 进行 标记 和 判 列 ， 同 样 减少 用 户 的 处 理 
时 间 。 在 使 用 器 名 和 早 时 特别 要 注意 ， 干 力 不 要 把 有 用 的 邮件 地 址 列 入 其 中 ， 盏 则 有 可 能 
将 给 用 尸 市 来 不 可 挽回 的 损失 ， 如 图 8-10 所 示 。 


I RSRUA duce I RSRUA ugue 


常规 “| 规则 过 滤 DPA mung | 白 名 单 常规 “| 规则 过 源 | 贝 叶 斯 过 源 | 黑 名 单 | 白 名 单 


在 学 二 邮 件 前 需要 整理 您 的 邮件 炎 ， 以 避免 把 垃 极 邮件 作为 非 垃 圾 邮件 学 让 下 发 
SistipdEi BAHEBE. * : Hs 由 以 下 发 件 作 发 来 的 邮件 将 被 直接 删除 。 


[使 用 贝 叶 斯 概率 模型 判定 接收 的 邮件 是 否 垃 卉 邮件 QUO ; Em 
已 学 习 信 息 (mmo ) 
非 垃 圾 邮件 : FBAR: 127 T 
非 垃圾 司 : 68696 ibis 28171 
更 新 时 间 : 2009-4-13 10:27:45 



































过 滤 强 度 
稼 动 下 面 的 标记 设 定 过 滤 的 强度 。 


| J 
Ls ia 高 
过 滤 弹 度 设 定 越 高 ， 邮 件 被 判定 为 垃圾 邮件 的 可 能 性 越 大 。 
[ ] 自动 删除 垃圾 邮件 箱 中 以 下 天 数 之 前 的 旧 邮 件 
30 v 天 之 前 


O “ 设 定 为 非 垃 圾 邮件 ”时 不 显示 提示 窗 必 ) 


























图 8-9” 贝 叶 斯 过 滤 图 8-10 HZ yE 


© 切换 到 “ 白 名 单 ” 选 项 卡 ， 可 以 人 工 反 垃 圾 邮件 设置 
设置 哪些 邮件 将 下 接 列 入 白 名 单 而 不 | 常规 “| 规则 过 小 | 贝 叶 斯 过 小 | 黑 名 单 | 白 名 单 | 


RE E AE DELIS PR CH AHRISET, 白 名 单 主要 包括 地 址 








为 Foxmail 进 行 处 理 提 示 是 否 为 垃圾 源 中 的 联系 人 以 及 发 出 的 邮件 的 收 件 人 。 
AR > 2 姓名 E-mail 
邮件 ， 从 而 交 给 用 户 作 进一步 处 理 ， M cci 


É STA : 
a&nnerobüix.n... annerob@ix. netcom. com 
vi M 


NN N N y » I lx. E 
这 样 做 同样 可 以 减少 用 户 的 处 理 时 on 
aslaccs09 aslaccs09@liecs. mq. edu. au 

> 7 E SERRE Suh woke Rabe =. 

日 1] = 所 B i ` authorfeedbackiresearch. e.. 
|] d H 冬 8 1 l /JNo alexey vinel avinellüyandex.ru 

b. malinftvanderbilt. edu 

| ee us ias wakin | AE edu 
b. malin b. malinêvanderbilt. edu | 
$ 说 


lariana 
basten. sy(àgmail. com 





bians nchin.. i l bi ansenüchinemobile. com 
" Abs TRAHIR VeL ERR "| ph ella 


com 


t? 




















图 8-11 ELA SEE 
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: 企业 级 数据 防护 


本 章 导 读 

信息 泄露 的 案例 屡见不鲜 ， 如 汇丰 银行 离职 员工 造 
成 的 客户 资料 泄露 .国内 某 大 型 造船 厂 发 生 的 设计 数据 非 
法 拷贝 等 事件 , 以 及 最 近 网 络 上 的 热门 话题 当 数 中 国 互联 
网 “5000 万 用 户 数据 泄露 ”事件 了 ， 首 先是 知名 技术 网 
站 CSDN 被 黑客 泄露 的 600 万 明文 账户 密码 信息 ， 直 接 
导致 了 许多 用 户 的 注册 账号 、 注 册 密 码 及 邮箱 泄露 , 接着 
更 是 传人 人 网 、 多 玩 等 多 个 中 国 大 型 网 站 也 给 “ 爆 库 ”了 ，。 
这 一 连 串 的 事件 使 得 众多 网 民 人 心性 性 、 不 断 地 更 换 密 
码 。 这 也 导致 了 大 家 对 这 些 网 站 及 其 企业 的 信任 危机 。 大 
KERET, BIR eee 

作为 500 强 企 业 来 说 ， 数 据 加 密 及 防护 机 制 是 CIO, 
CSO 甚至 是 CEO 必须 认真 考虑 的 一 个 问题 。 敏感 数据 泄 
露 、 公 司机 密 被 竞争 对 手 所 获得 ， 这 些 后 果 都 是 致命 的 。 
作为 业内 的 安全 人 士 应 冷静 地 看 竺 这 类 事情 , 完全 不 必 被 
这 些 事 件 的 表面 现象 所 惊吓 。 究 其 本 质 , 是 由 于 企业 的 数 
据 加 密 和 防护 工作 没有 做 到 位 ， 这 不 仅仅 是 技术 的 问题 ， 
更 是 管理 的 问题 。 其 实 ,， 当前 的 数据 加 密 和 和 防 泄露 技术 都 
比较 成 熟 了 ， 关 键 是 没有 落 到 实处 。 那 么 ，500 强 企 业 可 
以 运用 哪些 数据 加 密 和 防 泄露 技术 (包括 工具 ) 来 从 根本 
上 避免 这 些 问题 的 发 生 呢 9? 本章 将 详细 为 读者 进行 介绍 。 


第 9 章 
X492. MLRS D 


EX 企业 数据 防护 技术 分 析 


在 企业 数据 防护 技术 中 ， 从 本 质 上 来 说 包括 两 大 类 ， 一 类 是 数据 加 密 ; 另 一 类 则 是 数据 防 浊 
露 。 前 者 是 为 了 解决 数据 的 机 密 性 和 一 致 性 问题 , 通俗 来 说 束 是 防止 不 该 看 的 人 看 到 数据 和 算 改 
数据 ; 而 后 者 主要 是 为 了 解决 数据 的 机 密 性 问题 , Ae I xe qn HS ds 控制 数据 的 流通 渠道 ， 
从 本 质 上 来 说 也 是 为 了 防止 数据 被 非法 或 者 不 期 望 的 用 户 所 获得 。 
在 很 多 用 户 账 吕 浊 露 `. 机 密 数 据 泄密 等 安全 事件 中 , 很 多 事件 就 是 因为 以 下 几 个 原因 造成 的 。 
a ”数据 未 加 密 ， 导致 数据 在 传输 通道 (如 有 线 网 络 、wifi 等 ) 中 或 者 物理 服务 器 中 被 有 意 
HAMIR W CSDN 的 用 户 账 号 漆 圳 事件 每。 如 果 数 据 加 窗 了 ， 黑 客 和 不 法 用 户 即 
使 捕获 和 和 饥 取 了 加 密 的 数据 ， 要 解 开 它们 还 是 有 相当 难度 的 。 
a ”未 做 好 数据 防 泄露 工作 : 导致 数据 通过 USB、 邮 箱 、 即 时 消息 等 媒体 和 途径 进行 传播 
后 ， 无 法 确保 其 仅 能 被 有 权限 的 人 访问 ， 从 而 导致 间接 泄密 。 
因此 , 根据 这 两 个 原因 ,本 章 将 详细 介绍 企业 如 何 使 用 开源 工具 来 进行 数据 加 密 和 数据 防 污 
露 工 作 。 















































92 数据 加 密 技术 原理 











在 加 密 技 术 中 ， 明 文 是 指 未 加 答 前 的 鼠 始 数据 ， 密 文 是 指 加 密 后 的 数据 。 根 据 加 密 和 解密 时 
的 冤 码 不 同 ， 可 以 分 为 两 种 类型 的 加 密 、 解 密 算 法 。 


9.2.1 对 称 加密 、 解 密 


对 称 加 宕 、 解 密 是 加 密 和 解密 使 用 
相同 的 密码 ， 有 代表 性 的 有 DES、 
Blowfish、TEA、Base64。 对 称 加 密 、 解 
密 的 特点 是 运算 相对 非 对 称 加 密 、 解 密 
简单 ， 速 度 快 ， 主 要 应 用 于 需要 加 密 大 
量 数 据 的 场合 ， 例 如 游戏 的 资源 文件 加 
密 ， 其 示意 如 图 9-1 所 示 。 


9.2.2 ” 非 对 称 加 密 、 解 密 


非 对 称 加 密 、 解 密 是 加 密 和 解密 使 用 — 
不 同 的 密码 ， 有 代表 性 的 有 RSA、DSA、 prs 3 LK —. 




















图 9-1 对 称 加密 示 意图 


ElGamal 和 ECDSA。 非 对 称 加 窒 、 人 解密 的 
安全 性 是 基于 复杂 数学 难题 ， 特 点 是 运算 
复 杀 、 速 度 慢 ， 主 要 应 用 于 金融 、 和 军事 等 
EKIRA, WK 9-2 所 示 。 

为 什么 需要 非 对 称 加 密 和 解密 呢 ? 
假设 你 要 发 运 一 份 非常 机 密 的 文件 给 你 的 朋友 , 而 你 朋友 的 电脑 和 外 界 通信 的 线路 包括 无 线 信 和 号 











mmm» 明文 








图 9-2” 非 对 称 加 密 示意 图 
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祁 衫 监听 了 ， 那 怎么 办 ? 

方案 A: 提前 与 你 的 朋友 协商 一 个 密码 ， 然 后 使 用 对 称 加 密 算 法 加 密 文 件 ,转送 给 你 的 朋友 ， 
你 的 朋友 根据 乙 前 协商 的 密码 解 冤 文件 。 

使 用 方案 A 传输 加 密 后 的 机 密 文件 ， 即 使 监听 者 获得 了 文件 ， 仍 然 无 法 解密 。 初 步 肯定 方 采 
A 有 效 。 但 当 悄 况 变 成 你 要 给 多 个 阳 生 人 传输 机 密 文件 , 而 之 前 根本 无 法 和 每 个 阳 生 人 协商 密码 ， 
那 上 怎么 办 呢 ? 这 个 时 候 非 对 称 加 密 残 有 用 武之 地 了 。 

如 采 使 用 非 对称 加 密 算法 来 加 密 、 解 密 机 密 文 件 ， 那 么 阳 生 人 人 先 要 确定 一 个 加 密 的 密码 ， 然 
后 将 加 密 密 人 码 传输 给 你 ,同时 告诉 你 他 使 用 哪 种 非 对 称 加 密 算 法 ,你 用 加 秘密 码 按照 指定 的 非 对 
称 加 密 算 法 加 客机 蜜 文件 ， 将 加 密 后 的 文件 传输 给 阳 生 人 ， 阳 生 人 收 到 文件 后 使 用 另外 一 个 密码 
解密 文件 。 

这 样 即使 监听 者 获得 了 加 密 密 码 和 加 密 后 的 文件 ,也 解 不 开机 密 文 件 ， 因 为 使 用 非 对 称 加 密 
算法 加 密 的 文件 必须 使 用 解密 密码 来 解密 ， 使 用 原来 的 加 密 密 人 码 来 解密 是 无 效 的 。 

加 警 密 人 码 和 解密 密码 是 相对 的 ， 如 条 用 加 密 密 码 加 密 ， 那 么 上 只 有 解密 密码 才能 解密 ， 如 条 用 
解密 密码 加 密 则 只 有 加 密 密 人 码 能 解密 ， 所 以 它们 被 称 为 密码 对 ， 其 中 的 一 个 可 以 在 网 络 上 友 送 、 
公布 ， 叫 做 公 铀 ， 而 马 一 个 则 只 有 黎 钥 对 的 所 有 人 才 持 有 ， 叫 做 私 铀 ， 私 钥 不 以 任何 形式 传播 。 

对 称 加 窗 、 解 密 和 非 对 称 加 密 、 解 密 主要 有 以 下 两 个 区 别 。 

a ”对 称 加 密 、 解 密使 用 分 组 加 密 、 解 密 方 法 对 一 段 明 文 按 固 定 长 度 划分 成 多 组 ， 然 后 分 

列 对 每 组 使 用 可 变 长 度 的 宅 公 过 代 编 色 ， 最 后 将 每 组 编码 后 的 密 文 章 狐 组合 在 一 起 ， 
解 哗 时 也 一 样 ， 先 对 密 文 控 固定 长 度 划 分 成 多 组 ， 然 后 使 用 密码 解密 每 一 组 ， 最 后 香 
狐 组 合 明文 。 非 对 称 加 密 、 解 密 算 法 使 用 几乎 不 可 他 的 算法 来 加 密 、 解 窗 ， 加 密 和 人 解 
密使 用 不 同 的 密码 。 

- 对称 加 密 、 解 密 算法 和 非 对 称 加 密 、 解 密 算 法 部 十 公开 的 ， 对 称 加 密 、 解 密 算法 的 安 

全 性 依赖 于 密码 的 强度 和 密码 的 保存 ， 而 非 对 称 加 窒 、 解 密 算法 只 十 公开 一 对 密码 中 
的 其 中 一 个 ， 万 外 一 个 无 顷 公 开 ， 所 以 非 对 称 加 密 、 解 密 鼻 法 的 安全 性 比较 大 。 

总 体 来 说 ， 非 对 称 加 密 技 术 只 要 确保 私 钥 的 安全 性 即 可 ,而 公 钥 则 公开 ， 弥补 对 称 加 密 技术 
密 钥 传 递 融 来 的 失 密 问题 。 但 由 于 非 对 称 加 密 算法 通常 采用 密集 的 数学 计算 , 速度 比 对 称 加 密 要 
慢 得 多 。 实 际 应 用 中 常 将 两 者 结合 ， 用 对 称 加 密 技 术 加 密 要 传输 的 大 量 信息 ， 而 用 非 对 称 加 密 技 
术 加 密 对 称 加 密 技 术 的 共 孕 密 铀 。 


9.2.3 ” 公 钥 结构 的 保密 通信 原理 


要 进行 保密 通信 ， 发 送 方 使 用 接收 方 EZRA l [DH 接收 方 的 公 钥 
p " 接收 方 的 公 角 [zug 密 文 传送 "n EI 发 送 方 的 公 钥 

的 公 钥 对 明文 进行 加 密 , 接收 方 使 用 自己 的 pev 
私 钥 对 密 文 进行 解密 。 由 于 只 有 接收 方才 能 明文 g | 






























































Y 


t 明文 


j ) 
~ MEN / Internet/Intranet 人 “g 
对 由 自己 的 公 钥 加 密 的 信息 解密 ,因此 可 以 = A peo 
实现 保密 通信 ， 如 图 9-3 所 示 。 发 送 方 De "YO — p J a 接收 方 


发 送 方 的 私 铀 。 接收 方 的 私 钥 
图 9-3 公 钥 结构 下 的 保密 通信 原理 示意 
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9.2.4 ” 公 钥 结构 的 鉴别 通信 原理 











要 进行 鉴别 通信 ,发 送 方 使 用 自己 的 私 。 epee me 
SCAER, SERSA a N 

钥 对 密 文 进 行 解密 。 接 收 方 使 用 发 送 方 的 公 Dar f bou 明文 
钥 进行 解密 ， 可 以 确信 信息 是 由 发 送 方 加 密 op 
的 ， 因 此 可 以 鉴别 发 送 方 的 身份 ， 如 图 9-4 — M # cies 


[P] a A [ez] 
发 送 方 的 私 骨 EAR O9 H 
É9-4 AHA F BS AE DR fei JE ERAI 


所 示 。 








9.2.5” 公 铀 结构 的 鉴别 + 保密 通信 原理 


发 送 方 先 使 用 自己 的 私 钥 对 明文 进行 ”Emo 三 — 
加 密 ， 然 后 使 用 接收 方 的 公 钥 进行 加 密 . 接 ML MM T 六 让 
收 方 先 使 用 自己 的 私 钥 进 行 解密 , 然后 使 用 | 


d ) 
发 送 方 的 公 钥 进行 解密 , 这 样 就 实现 了 鉴别 Ea ~ B 
和 保密 通信 ， 如 图 9-5 Pra. 发 送 方 e y 


t T 
发 送 万 的 私 钥 接收 万 的 私 钥 








9-5 ” 公 钥 结构 的 鉴别 + 保密 通信 的 原理 示意 


ETE 应 用 一 : 使 用 GnuPG 进行 应 用 数据 加 密 





随 独 网 络 与 计算 机 技术 的 发 展 ， 数 据 存 储 与 数据 交换 的 安全 性 变 得 越 来 越 重 要 ， 加 密 技术 很 
早 就 用 于 数据 存储 和 数据 交换 。GnuPG (GNU Privacy Guard) 就 是 用 来 加 密 数 据 与 制作 证 书 的 一 
僚 工 具 ， 其 作用 与 PGP 关 似 。 但 是 PGP 使 用 了 许多 专利 算法 ， 属 于 “内 名 曲 闭 ”的 美国 加 密 出 口 限 
制 之 列 。GnuPG 是 GPL 软件 ， 并 且 没 有 使 用 任何 专利 加 密 算 法 ， 所 以 使 用 起 来 有 者 更 多 的 目 由 。 

具体 地 说 ，GnuPG 是 实现 安全 通信 和 数据 存储 的 一 系列 工具 集 , 可 以 做 加 密 数 据 和 数字 签名 
之 用 。 在 功能 上 ， 它 和 PGP 是 一 样 的 。 由 于 PGP 使 用 了 IDEA 专 利 算 法 ， 所 以 使 用 PGP 会 有 许可 证 
的 腑 烦 ， 但 GnuPG 并 没有 使 用 这 个 算法 ， 所 以 对 用 户 来 说 使 用 GnuPG 没 有 任何 限制 。GnuPG 使 用 
非 对 称 加 密 算 法 ， 安 全 程度 比较 高 。 所 谓 非 对 称 加 密 算 法 ， 就 是 每 一 个 用 户 都 拥有 一 对 密 钥 : 公 
铀 和 私 钥 。 其 中 , 密 钥 由 用 户 保 存 ， 公 和 钥 则 由 用 户 尽 可 能 地 散发 给 其 他 人 ,以 便 用 户 之 间 的 通信 。 
该 软件 可 以 从 网 站 http://www.gnupg.org/ 上 下 载 安装 。 


9.3.1 安装 GnuPG 


很 多 开源 系统 都 目 禹 了 GnuPG 的 软件 安装 包 ， 用 户 可 以 在 系统 安装 时 选择 安装 ， 也 可 以 以 后 
安装 。 

通常 在 系统 中 会 有 两 个 已 经 安装 的 GnuPG 软 件 包 ， 一 个 是 GnuPG 1.x， 男 一 个 是 GnuPG 2.x。 
后 者 是 GnuPG 的 最 新 稳定 版 本 , 兼容 OpenPGP 和 S/MIME， 并且 不 会 和 已 经 安装 的 1.x 系 列 有 任何 
冲突 。 相 比 1.x 系 列 来 说 ， 由 于 有 些 新 功能 (支持 S/MIME) 的 加 入 ， 所 以 其 在 运行 时 间 和 软件 包 
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大 小 上 都 比 1.x 系 列 要 大 。 但 是 从 功能 实现 上 来 说 ,与 1.x 相 差 无 几 。 为 了 解释 和 讨论 的 有 效 性 和 
一 致 性 ， 本 章 将 采用 GnuPG 1.x 系 列 进 行 讲 解说 明 。 


9.3.2 GnuPG 的 基本 命令 


GnuPG 文 持 的 算法 如 下 。 

a 729]: RSA、RSA-E、RSA-S、ELG-E、DSA。 

= ”对 称 加 密 : 3DES. CASTS. BLOWFISH, AES. AESI92. AES256, TWOFISH. 
= BJ: MD5. SHAl. RIPEMDI60. SHA256. SHA384. SHAS12. 

a 压缩: ANH. ZIP. ZLIB, BZIP2. 

其 使 用 的 基本 语法 为 : gpg [选项 ] [文件 名 ] 

其 实现 的 功能 包括 签名 、 检 但 、 加 和 密 或 解 窒 ， 默 认 的 操作 依 输入 数据 而 定 。 


9.3.3 GnuPG 的 详细 使 用 方法 


1. 生成 密 钥 对 


使 用 GnuPG 之 前 必须 生成 密 钥 对 ( 公 钥 和 私 钥 〉， 参 数 选项 “--gen-key” 可 以 生成 密 钥 对 。 可 
按 以 下 步 又 进行 操作 ， 如 图 9-6 和 图 9-7 所 示 。 

在 图 9-6 中 ， 读 者 首先 需要 注意 有 以 下 几 个 关键 的 步骤 。 

(C1) GnuPG 要 求 输入 将 生成 的 密 钥 的 算法 。GnuPG 可 以 生成 多 种 密 钥 对 ， 这 里 有 三 种 选择 。 
DSA 密 钥 是 生成 证 书 的 最 基本 的 密 钥 格式 。ElGamal 密 钥 对 可 以 用 来 加 密 。 第 二 种 选择 与 第 一 种 
相似 ， 但 是 仅仅 生成 DSA 密 钥 对 ， 第 三 种 选择 可 以 生成 供 签证 和 加 密使 用 的 EIGamal 密 钥 对 。 对 
大 多 数 用 户 来 说 ， 使 用 默认 选择 是 非常 方便 的 。 

(2) 选择 密 钥 的 长 度 。DSA 密 钥 的 长 度 在 512—1024 位 之 间 ，ElGamal 密 钥 的 长 度 则 没有 限 
制 。 生 成 一 个 很 长 的 密 铀 既 有 优点 也 有 缺点 ， 长 的 密 钥 无 颖 安全 性 非常 高 ， 但 是 会 导致 加 密 的 过 
程 变 得 缓慢 ， 另 外 ， 密 钥 过 长 ， 也 会 使 证 书 的 长 度 变 大 。 默 认 密 钥 长 度 1024 位 已 经 够 用 了 ， 确 
定 了 密 钥 的 长 度 之 后 ， 就 不 能 再 改变 它 。 

(3) 需要 指定 这 个 密 铀 对 的 有 效 日 期 。 。 MESSIENRIONTINMENMEMMMMMES 
如 果 选 择 了 生成 EIGamal 或 者 DSA 密 钥 对 , 需 N itis a 
要 指定 密 FEDT ERI ASA 日 期 .对 于 大 多 数 用 户 来 请 选择 您 要 使 用 的 密 钥 种 类 : 


(1) DSA 和 ElGamal (默认 ) 


说 , 密 钥 对 没有 失效 期 限 是 可 以 的 。 虽然 在 窗 。 Bon 


(5) RSA ( 仅 用 于 签名 ) 






































钥 对 产生 以 后 , 可 以 改变 它 的 有 效 日 期 , 但 仍 。 ABS 


DSA 密 钥 对 会 有 1024 È. 
度 应 


要 着 慎 选 择 该 参数 。 因 为 公 钥 发 送出 去 以 后 ， 
很 难 再 改变 其 他 用 户 拥有 的 您 的 公 钼 。 
完成 上 述 步 又 后 ， 用 户 还 需要 注意 如 图 








<n>w = 窗 钥 在 nm 周 后 过 其 
9-7 所 示 的 后 续 几 个 关键 步骤 。 RE E 
民 是 


(D 用 户 需要 指定 一 个 用 户 ID 来 标识 选 。 HERREN IE 
择 的 密 铀 ，GnuPG 可 以 根据 用 户 的 真实 姓名 、 em 
注释 和 E-mail 地 址 产生 一 个 用 户 ID。 在 图 9-7 
中 ， 我们 使 用 姓名 (liyang〉 ， 电 子 即 件 地 址 〈liyang@tsinghua.com) 和 注释 (liyang@tsinghua) 








e 
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并 设 定 了 密 钥 的 密码 ， 来 完成 该 步 又 。 这 个 口令 的 目的 是 用 来 加 密 用 户 的 私 铀 ， 这 样 ， 即 使 有 人 
偷 走 了 用 户 的 私 钥 ， 没 有 这 个 口令， 也 无 法 使 用 ， 这 个 口令 的 长 度 没 有 限制 , 但是， 正如 我 们 所 
知道 的 ,一 个 短 的 口令 是 很 容易 被 破解 的 。 同 样 ， 如果 用 户 的 口令 是 一 个 单词 ,也 很 容易 被 破解 。 

(20 在 产生 密 钥 的 过 程 中 ，GnuPG 需 要 得 到 一 些 随机 的 数字 。 这 些 随 机 的 数字 可 以 从 用 户 
系统 当前 的 状态 中 得 到 ， 所 以 这 时 候 ， 用 户 可 以 随机 各 一 下 键盘 或 者 移动 鼠标 ， 来 产生 高 质量 的 
随机 数 。 图 9-7 中 系统 殴 明 显 地 要 求 用 户 尽 量 多 产生 一 些 随 机 数字 来 生成 密 铀 ， 以 你 证 质量 。 

完成 了 上 述 5 个 关键 步 又 后 ， 如 条 系统 显示 如 图 9-8 所 示 的 成 功 界 面 ， 则 生成 密 钥 成 功 ， 合 
则 用 户 需 要 再 重复 以 上 SAER. 


























鼠标 、 读 写 硬盘 之 类 和 


,十 十 十 十 十 十 十 十 十 十 十 十 


& : liyang 
子 邮 件 地 址 : liyangaütsinghua.com 


“Liyang (liyang@tsinghua) <liyang@tsinghua. com>” 


gpg: /home/fedora/.gnupg/trustdb. gpg : 建立 了 信任 度数 据 库 


gpg: & 18 4B4070F9 绝对 信任 
公 钥 和 私 铀 已 经 生成 并 


更 改姓 名 (N) 、 注 释 (C) 、 电 子 邮 件 地 址 (E) 或 确定 (0)/ 退 出 (0)? o 
您 OLEO o 


gpg: 正在 检查 信任 度数 据 ， 
gpg: 需 b X 份 完全 信任 PcP 信任 模型 
: 深 o ÈE : 0-, 0q, On, Om, Of, lu 


OF9 2009-10 
密 钥 指纹 = 7F88 F1DB 9E62 247C B3DE 9A5C E334 78FD 4B40 70F9 
uid liyang (liyang@tsinghua) <liyang@tsinghua. com> 


图 9-7 生成 密 钥 的 后 续 2 个 关键 步骤 图 9-8 生成 密 钥 成 功 

2. 为 密 钥 建立 吊销 证 书 

当 用 户 的 密 钥 对 生成 之 后 ， 用户 应 该 立即 做 一 个 公 角 回收 证 书 , 如 果 和 态 记 了 私 钥 的 口令 或 者 
私 钥 丢失 或 者 被 盗窃 ,用 户 可 以 发 布 这 个 证 书 来 声明 以 前 的 公 钥 不 再 有 效 。 生 成 回收 证 书 的 选项 
是 “--gen-revoke”。 有 具体 使 用 的 命令 是 : 


# gpg --output revoke.asc --gen-revoke mykey 


其中 mykey EUDTIDUUAUUEUHRIL MEN 
产生 的 回收 证 书 放 在 revoke.asc 文 件 中 ， 一 旦 回 : — Hr ODD M MEE 
WubdH AW. UB B uE- PC AS Be A HEH 
Pu. KERTAS HERRAT . BER 
过 程 如 图 9-9 一 图 9-11 所 示 。 在 该 过 程 中 我 们 
为 用 户 liyang 的 密 钥 建 立 了 一 份 吊销 证 书 , 在 建 
站 过 程 中 需要 依次 输入 是 销 理由 和 为 密 钥 设 定 
的 密码 才能 成 功 建 立 转 销 证 书 。 


[fedora@localhost ~]$ gpg --output liyang revoke.asc --gen-revoke liyang [fedoraglocalhost -1$ gpg --output liyang revoke.asc --gen-revoke liyang 





























sec 1024D/4B4070F9 2009-10-07 liyang (liyang&tsinghua) «liyang&tsinghua.com» sec 1024D/4B4070F9 2009-10-07 liyang (liyangütsinghua) <liyang@tsinghua. com> 


— f$ rh SH uE-B I ? (y/NDy 建立 吊销 证 书 吗 ? (y/N)y 


(y/N)y 


您 需要 输入 密码 ， 才 能 解 开 这 个 用 户 的 私 钥 : “liyang (liyang@tsinghua) <liyang@tsinghua.com>” 
1024 位 的 DSA $A., H B4079F9， 建 立 于 2009-10-07 


fu Wm 3 密码 ， 才 能 解 开 这 个 用 户 的 私 钥 : “liyang (liyangüétsinghua) «liyang&tsinghua.com»" 
1024 位 的 DSA 密 铀 钥匙 号 4B4070F9， 建立 于 2009-10-07 


已 强行 合用 ASCI 封装 过 的 输出 。 
已 建立 吊销 证 书 。 


图 9-10 ”输入 为 密 钥 建立 的 密码 图 9-11 成功 建立 吊销 证 书 
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3. 显示 密 钥 列表 
[fedora@localhost ~]$ gpg --list-keys 


完成 上 述 操 作 后 可 以 使 用 --list-keys Yt /home/fedora/ .gnupg/pubring.gpg 
项 列 出 我 们 生成 HS a 5H , 如 图 9-12 所 示 。 j a PE AAE E <liyang@tsinghua. com> 


1024g/433F132B 2009-10-07 


4. Wc zH 图 9-12 HIK 


用 户 可 以 输出 目 己 的 公 钥 供 其 主页 使 用 ， 也 可 以 把 它 放 在 密 钥 服务 器 上 ， 当 然 ， 还 可 以 使 用 
其 他 的 途径 。 在 使 用 此 公 钥 之 前 用 尸首 移 要 导出 它 。 选 项 --export 可 以 实现 该 功能 ， 在 使 用 这 个 
选项 时 ， 还 必须 使 用 附加 的 选项 指明 用 户 要 输出 的 公 铀 。 

下 面 的 命令 表示 以 二 进 制 格 式 输出 公 乌 : 
I ODDO ou ne le Yo a le Ne de ee 

下 面 的 命令 表示 以 ASCII 字 符 格式 输出 : 
"eem OU ne en a ne ne he 











5. EACH 


用 户 可 以 把 从 第 三 方 的 公 钥 数据 库 中 得 到 的 公 钥 导入 目 己 的 私有 数据 库 , 在 与 他 人 进行 通信 
BAS mU P: 


*gpg --import < filename > 


其 中 , 参数 filename 为 MEH XAF. [samsunglinux@localhost ~]$ gpg --import pubring.gpg 


gpg: /home/samsunglinux/.gnupg/trustdb.gpg: 建立 了 信任 度数 据 库 


图 9-13 给 出 了 将 用 户 Jiyang 的 公 钥 导入 到 E 


gpg: Bis Ae 


用 户 samsunglinux 自 己 的 私有 数据 库 的 例子 。 A 


-rw-r--r-- 1 root root 922 10-07 12:13 pubring.gpg 
[samsunglinux@localhost ~]$ ls -a 


6 ffs V uz H .bash logout .bashrc pubring.gpg 

. L (aw .bash profile .zshrc 
[samsunglinux@localhost ~]$ cd .gnupg 
[samsunglinux@localhost .gnupg]$ ll 


导入 密 钥 以 后 , 使 用 数字 签名 来 验证 此 证 MUN 





1 samsunglinux samsunglinux 9154 10-07 12:12 gpg.conf 








-FW------- 1 samsunglinux samsunglinux 922 10-07 12:14 pubring.gpg 
书 是 否 合法 查看 数 E E 27A 使 用 --fingerprint -rw------- 1 samsunglinux samsunglinux 0 10-07 12:12 pubring.gpg- 
AT -TW------- 1 samsunglinux samsunglinux 0 10-07 12:12 secring.gpg 
-TW------- 1 samsunglinux samsunglinux 1200 10-07 12:14 trustdb.gpg 
选项 。 其 命令 如 下 : 
pu o ^S HJ x . 


G = LAS zi 
rop Nel oe orane set OLIM S 图 9-13. SA A S] 


2 à $ [ linux@localhost ~]$ "TT TUE 
其 中 ，UID 为 用 户 要 验证 的 公 钥 。 图 9-14 — MEET NE 


密 钥 指纹 = 7F88 FlDB 9E62 247C B3DE 9A5C E334 78FD 4B40 70F9 


2 出 T 验证 证 书 的 例 T , uid liyang (liyangétsinghua) <liyang@tsinghua. com> 


sub 1024g/433F132B 2009-10-07 








7. 密 钥 签 名 图 9-14 确认 密 钥 示意 
导入 密 钥 之 后 ， 可 以 使 用 --sign-key 选项 
进行 签名 ， 签 名 的 目的 是 证 明 用 户 完全 信任 这 个 证 书 的 合法 性 。 其 命令 格式 为 : 
I 
HER, UD 是 要 签名 的 公 钥 。 


8. 检查 签名 
用 户 可 以 使 用 --check-sigs 选项 来 检查 在 上 面 对 密 钥 所 作 的 签名 。 其 命令 格式 为 : 


# gpg --check-sigs < UID > 


这 个 选项 可 以 列 出 此 密 钥 文件 的 所 有 的 签名 。 











- 
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9. 加 密 和 解密 


使 用 GnuPG 加 窗 和 人 解密 一 个 文件 非 党 容易， 如果 用 户 要 给 对 方 发 送 一 个 加 密 文 件 , 可 以 使 用 
对 方 的 公 钥 加 密 这 个 文件 ， 并 且 这 个 文件 也 只 有 对 方 使 用 目 己 的 黎 钥 才 可 以 解答 三 看 。 
加 密 一 个 文件 可 以 使 用 下 面 的 指令 
em e MINDESTENS 
其 中 ，UID 是 对 方 的 公 钥 ，file 为 要 加 密 的 文件 。 
相应 的 ， 如 下 用 户 要 解 开 一 个 其 他 用 户 发 给 上 日 己 的 文件 ， 可 以 使 用 下 面 的 指令 
.eyelet 
其 中 ，file 是 要 解密 的 文件 。 解 密 过 程 中 ，GnuPG 会 提示 用 户 输入 使 用 密 钥 所 需 的 口令 ， 也 
就 是 在 产生 私 负 时 用 户 所 输入 的 口令 ， 奋 则 ， 该 文件 将 无 法 正常 解密 并 锌 用户 使 用 。 
图 9-15 和 图 9-16 分 别 显示 了 用 户 samsung Linux 对 文件 gpg.conf 进 行 加 密 传 输 ， 用 户 liyang 
对 该 加 密 文 件 gpg.conf.gpg 进 行 解密 的 过 程 。 


[samsunglinux@localhost .gnupg]$ gpg -r liyang --encrypt gpg.conf 
gpg: 433F132B: 没有 证 据 表 明 这 把 密 钥 真 的 属于 它 所 声称 的 持 有 者 



































pub 1024g/433F132B 2009-10-07 liyang (liyang@tsinghua) <liyang@tsing TE 
钥 指 纹 : 7F88 F1DB 9E62 247C B3DE 9A5C E334 78FD 4B40 70F9 


您 需要 输入 密码 ， 才 能 解 开 这 个 用 户 的 私 钥 : “liyang (liyangGtsinghua) <liyang@tsin 
T iHi8 8L: 2248 ECA7 ATIB OF3E 127F 3971 677D F588 433F 132B 


ghua. com>” 

1024 位 的 ELG-E z$H. $A 5 433F132B. 建立 于 2009-10-07 ( 主 钥匙 号 4B4070F9) 
一 定 属于 用 户 标识 声称 的 那个 人 。 如 果 您 真 的 知道 自 

你 可 以 在 下 一 个 问题 回 管 yes. 





gpg: 由 1024 位 的 ELG-E 密 钥 加 密 ， 钥 匙 号 为 433F132B、 生 成 于 2009-10-07 
“liyang (liyang@tsinghua) <liyang@tsinghua. com>” 


A e 4 Options for GnuPG 
仑 如 和 何 还 是 使 用 这 把 密 铀 吗 ? (y/N)y # Copyright 1998, 1999, 2000, 2001, 2002, 2003 Free Software Foundation, Inc. 
# 


Lsansunglinuxelocalhost T 


# This file is free software; as a special exception the author gives 

samsunglinux samsunglinux 9154 10-07 :12 gpg. conf # unlimited permission to copy and/or distribute it, with or without 
n n # modifications, as long as this notice is preserved. 

samsunglinux samsunglinux 4172 - :15 gpg.conf.gpg u 


samsunglinux samsunglinux 922 10- :14 pubring.gpg # This file is distributed in the hope that it will be useful, but 
samsunglinux samsunglinux 5 :12 pubring.gpg- # WITHOUT ANY WARRANTY, to the extent permitted by law; without even the 
:15 random seed # implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. 


图 9-16 用 户 liyang 对 文件 进行 解密 并 浏览 
进行 加 密 CHE) 


9.3.4 GnuPG 使 用 实例 


下 面 详 细 介 绍 如 何 使 用 GnuPG 收 发 数据 ， 主 要 会 涉及 到 数据 交换 的 两 种 方式 。 

a ”数字 签名 传输 (signed data): 发 送 者 使 用 私 钥 对 数据 加 密 ， 接收 者 使 用 公 钥 对 数据 解密 。 

a ”数据 加 密 传 输 (encrypted data) : 发 送 者 使 用 公 钥 对 数据 加 密 ， 接 收 者 使 用 私 钥 对 数据 
解密 。 

1. 数字 签名 传输 


发 送 者 使 用 私 钥 对 数据 进行 签名 , 接收 者 拥有 发 送 者 的 公 钥 ,对 之 信任 并 使 用 它 验 证 接收 数 
据 的 完整 性 。 对 数据 进行 签名 的 最 简单 的 方法 是 使 用 clearsign 命 令 ， 这 将 使 GnuPG 创 建 一 个 易 读 
的 签名 ， 很 适 于 发 送 E-mail。 有 具体 命令 及 执行 we 
情况 如 下 : Pbi EE 
re veliesse ne steleie c ESSE MICE SiS UH CRSCATOTGSUHES Aner YASON TAT Fun C ud: 
答 入 密码 后 ， 将 生成 一 个 扩展 名 为 .asc 的 SEE 
新 文件 ， 这 里 就 是 transmit.txtasc。 这 个 文件 包 | x 















































FPUAn3DHai3bdnUAqbGzxqOQdPcepbVp 


含 了 transmit.txt 文 件 的 原始 内 容 以 及 签名 信 — BE 





息 ， 如 图 9-17 所 示 。 
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当 接 收 者 收 到 包 合 上 上述 签名 的 信息 或 文 [fedora@localhost .gnupg]$ gpg --verify transmit.txt.asc 








gpg: F 2009# 10H 07A 星期 三 130 20A 42% CST 创建 的 签名 ， 使 用 DSA, $ 


件 时 ， 可 以 使 用 AA 的 公 和 角 来 验证 信息 的 完 Kata 好 的 签名 ， 来 自 于 “liyang (liyang@tsing gq@ 
HE, 具体 命令 及 执行 悄 况 如 下 ,参见 图 9-18 图 9-18 ”验证 数字 签名 的 完整 性 


所 示 。 











*fgpg --verify transmit.txt.asc 


2. 数据 加 密 传输 
这 种 传输 方式 的 目的 是 为 了 只 让 个 别人 看 到 发 送信 息 者 使 用 其 公 钥 对 文件 或 数据 进行 加 密 ， 


接收 者 使 用 发 送 者 的 私 钥 对 接收 数据 进行 解 











edora@loca .gnupg]$ cat transmit.txt.gpg 
GRO\ ONONO} 666c66) 69 qG6G66R66* 66660016hx66; 66666bg 注 ^ 6 6 





密 。 加 密 命令 包含 两 个 部 分 ， 一 部 分 指定 接收 ott stu 
5 K a 2x i 2 666: 6G6k*6n7 j 6L666/66q06Qw" "66* 661PODg6i !L6h6-666z 
者 的 E-mail (|^ JJ 一 部 分 指 定 要 加 密 的 文件 o XA GEN ENIM. 


里 只 给 出 一 个 加 密 后 的 transmit.txt 文 件 的 示 O ACT CRRLOLRU ERE 2 UIS 


688=6808H^Kpce3eG8968 





例 ; 如 图 9-19 所 示 5 在 网 2x. 中 传输 时 1 Bp 使 @kfcSEBrEH;&884U88RB GGooGG 7 6UG666905 wo7 O000+fOG0940K O0000cX. G0wbcO9 日 


该 文件 被 黑客 或 者 其 他 用 户 截 获 ， 但 没有 私 


图 9-19 ”加 密 后 的 transmit.txt 文件 





钥 ， 访 用户 也 无 法 对 该 文件 进行 识别 ， 因 而 其 有 很 局 的 安全 性 。 


为 外 ， 值 得 一 提 有 的 是 : 通过 以 上 方式 说 


[fedora@localhost .gnupg]$ gpg -d transmit .txt.gpg 





加 密 的 信 El 也 可 以 被 签名 》 方法 是 在 上 述 命 您 需要 输入 密码 ， 才 能 解 开 这 个 用 户 的 私 钥 : “liyang (liyang@tsinghua) <Liya 


ng@tsinghua. com>” 


令 中 再 加 上 一 个 -s 参 数 。 如 下 命令 : 1024 位 的 ELG-E 密 钥 ， 钥 是 号 433F132B， 建 立 于 2009-10-07 ( 主 钥匙 号 4B40 


#gpg -r < UID > --encrypt -s< file > 


那么 


70F9 ) 


gpg: 由 1024 位 的 ELG-E 密 钥 加 密 ， 钥 匙 号 为 433F132B、 生 成 于 2009-10-07 
“Liyang (liyanggtsinghua) <liyang@tsinghua. com>” 


; 在 使 用 -d 选 项 来 解密 该 文件 时 ， hi,this is a test for GnuPG encrypted file transmitted! 





将 会 出 现 如 网 9-20 所 示 的 情况 ， 该 图 的 日 色 ——— 星期 三 138334 02? CST 创建 的 签名 ,使 用 DSA, 48 





由 号 4B4070F9 





部 分 给 出 了 对 签名 的 检验 情况 。 全 完好 的 签名 ， 来自 于 “liyang (liyang@tsinghua) <LiyangGtsinghua, com>” 
- 密 过 程 中 检验 数字 俭 4 
9.3.5 GnuPG 使 用 中 的 注意 事项 图 9-20 ”解密 过 程 中 检验 数字 签名 


在 使 用 GnuPG 的 过 程 中 ， 需 要 注意 以 下 儿 个 问题 。 














需要 根据 实际 应 用 来 确定 生成 密 钥 的 算法 、 密 钥 的 长 度 以 及 密 钥 的 有 效 期 限 。 

需要 用 户 通 过 交互 移动 鼠标 、 键 盘 来 保证 生成 的 密 钥 对 的 随机 性 ;否则 ， 极 有 可 能 补 
黑客 破解 。 

公 钥 的 安全 性 问题 是 GnuPG 安全 的 核心 ， 一 个 成 熟 的 加 密 体 系 必然 要 有 一 个 成 熟 的 密 
钥 官 理 机 制 配套 。 公 和 钥 体制 的 提出 就 是 为 了 解决 传统 加 罕 体 系 的 密 钥 分 配 难 保密 的 缺 
氮 。 比 如 网 络 黑 客 利用 的 手段 乙 一 驶 是 “监听 ”， 如 末 密 钥 是 通过 网 络 传送 融 太 危险 
了 。 对 GnuPG 来 说 公 钥 本 来 就 要 公开 ， 因 此 没有 防 监 昕 的 问题 。 但 公 钥 的 发 布 中 仍然 
存在 安全 性 问题 ， 例 如 公 钥 被 扯 改 ， 这 可 能 是 公 钥 密码 体系 中 最 大 的 将 洞 ， 因 为 大 多 
数 新 手 不 能 很 快 肥 现 这 一 点 。 你 必须 确信 目 己 拿 到 的 公 钥 属于 它 看 上 去 属于 的 那个 人 。 
私 钥 的 保密 也 是 决定 性 的 。 相 对 公 钥 而 言 ， 私 钥 不 存在 被 算 改 的 问题 ， 但 存在 泄露 的 
问题 。GnuPG 的 办 法 是 让 用 户 为 随机 生成 的 RSA 私 钥 指定 一 个 口令 。 只 有 通过 给 出 的 
口令 才能 将 私 钥 释 放出 来 使 用 ， 用 口令 加 密 私 钥 的 方法 的 保密 程度 和 GnuPG 本 吴 是 一 
样 的 。 所 以 私 钥 的 安全 性 问题 实际 上 痛 先 是 对 用 户口 令 的 保密 。 当 然 私 钥 文 件 本 号 失 
密 也 很 危险 ， 因 为 破 详 者 所 需要 的 只 是 用 穷 淮 法 试探 出 你 的 口令 ， 昌 说 很 困难 ， 但 毕 
莞 是 损失 了 一 层 安 全 性 。 在 这 里 只 用 简单 地 记 住 一 点 ， 要 像 任 何 隐私 一 样 保存 你 的 私 
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铀 ， 不 要 让 任何 人 有 机 会 接触 到 它 。 


a ”在 实际 的 使 用 过 程 中 ， 用 户 可 以 将 GnuPG 软件 灵活 地 运用 到 网 络 数据 传输 ， 包 括 电子 
邮件 有 发送 ，FTP 文件 传送 每 各 个 应 用 领域 。 


ECT 应 用 二 : 使 用 SSH 加 密 数据 传输 通道 





SSH 的 英文 全 称 是 Secure SHell。 通过 使 用 SSH, 用 户 可 以 把 所 有 传输 的 数据 进行 加 密 , 这 样 ， 
“中 间 人 ”这 种 攻击 方式 就 不 可 能 实现 了 ， 而 且 也 能 够 防止 DNS 和 IP 欺 骗 。 还 有 一 个 额外 的 好 处 
就 是 传输 的 数据 是 经 过 压缩 的 , 所 以 可 以 加 快 传输 的 速度 。 SSH 有 很 多 功能 , 它 既 可 以 代替 Telnet， 
又 可 以 为 FTP、POP， 甚 至 PPP 提 供 一 个 安全 的 “通道 ”。 

SSH 协 议 是 建立 在 应 用 层 和 传输 层 基础 上 的 安全 协议 ， 主 要 由 以 下 三 部 分 组 成 ， 共 同 实 现 
SSH 的 安全 保密 机 制 。 

a ”传输 层 协议 。 该 协议 提供 诸如 认证 、 信 任 和 完整 性 检验 等 安全 措施 ， 此 外 还 可 以 任意 

地 提供 数据 压缩 功能 。 通 常情 况 下 ， 这 些 传 输 层 协 议 都 建立 在 面 癌 连接 的 TCP 数据 流 




















PM EC 
a 用 户 认 证 协议 层 。 用 来 实现 服务 器 和 客户 站 用 户 之 间 的 号 份 认证 ， 其 运行 在 传输 层 协 
Ds 








ma ERNE. NMEA AEA E b. HaT EHF MEBDE. 

SSHÆ HA ? m JR 53m ER] EACH EHI] AANDRA, aE 1.x 和 2.x。 用 SSH 2.x 
客户 程序 是 不 能 连接 到 SSH 1.x 的 服务 程序 上 去 的 。OpenSSH 2.x 同 时 支持 SSH 1.x 和 2.x. 

从 客户 山 来 看 ，SSH 提 供 两 种 级 别 的 安全 验证 。 

第 一 种 级 别 〈 基 于 口令 的 安全 验证 ) : 只 要 用 户 知 道 目 己 的 账号 和 口令 ， 束 可 以 登录 到 远程 
主机 。 所 有 传输 的 数据 都 会 被 加 密 ， 但 是 不 能 保证 用 户 正 在 连接 的 服务 器 就 是 用 户 想 连接 的 服务 
器 。 可 能 会 有 别 的 服务 器 在 冒充 真正 的 服务 器 ， 也 就 是 受到 “中 间 人 ”这 种 方式 的 攻击 。 

第 二 种 级 别 (基于 完 钥 的 安全 验证 ) : 需要 依 徘 密 钥 , EME DU BO) S, 
并 把 公用 密 钥 放 在 震 要 访问 的 服务 占 上 。 如 果 用 户 要 连接 到 SSH 服 务 嚣 上， 客户 问 软 件 就 会 回 服 
务 右 发 出 请 求 ， 请 求 用 用 户 的 密 钥 进行 安全 验证 。 服 务 嚣 收 到 请 求 之 后 ， 先 在 用 户 的 该 服务 右 的 
主 目录 下 寻找 用 户 的 公用 密 钥 ,然后 把 它 和 用 户 发 送 过 来 的 公用 密 钥 进行 比较 。 如 果 两 个 密 钥 一 
八 ， 服 务 器 束 用 公用 密 钥 加 密 “ 质 询 ” Challenge?) 并 把 它 发 送 给 客户 端 软件 。 客 户 端 软件 收 到 

“质询 ”之 后 束 可 以 用 用 户 的 私人 密 钥 解密 再 把 它 发 送 给 服务 器 。 

用 这 种 方式 ， 必 须知 道 目 己 密 钥 的 口令 。 但 是 , 与 第 一 种 级 别 相 比 ， 第 二 种 级 别 不 需要 在 网 
络 上 传送 口令 。 第 二 种 级 别 不 仅 加 密 所 有 传送 的 数据 而且“ 中 间作” 这 种 攻击 方式 也 古 不 可 能 
的 《因为 它 没 有 有 用户 的 私人 密 铀 ) 。 

9.4.1 安装 最 新 版 本 的 OpenSSH 

要 安 闭 最 新 版 本 的 OpenSSH， 可 以 从 网 站 http:/www.openssh.com/ 上 下 载 其 发 布 的 最 新 版 本 

openssh-5.2pl.tar.gz， 然 后 按照 如 下 命令 进行 安装 即 可 。 


(1) f REUS E: 
tear zwi opensske 5c put aT 
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(2) 预 编译 ， 生 成 makefile 文 件 : 
tcd openssh-5.2p1 
#./configure 
(3) 3: 
#make 
#make install 
安装 完成 之 后 ， 可 以 使 用 下 述 命 令 (Red Hat 和 Fedora 系 列 ) 进行 局 动 : 
#service sshd start 


或 者 使 用 以 下 命令 (Ubuntu 系 列 ) 进行 启动 : 


ey a ee We CAS 


9.4.2 ”配置 OpenSSH 


与 SSH 有 天 的 配置 文件 


OpenSSH 的 设置 文件 和 主要 文件 存放 在 /etc/ssh/ 目 录 中 ， 主 要 包括 以 下 文件 。 
» X /etc/ssh/sshd config: sshd 服务 器 的 设置 文件 。 

» /etc/ssh/ssh config: ssh 客户 机 的 设置 文件 。 

m /etc/ssh/ssh host key: SSH1 用 的 RSA 私 钥 。 

= — /etc/ssh/ssh host key.pub: SSHI 用 的 RSA 49]. 

mn X etc/ssh/ssh host rsa key: SSH2 用 的 RSA 4$. 

= — /etc/ssh/ssh host rsa key.pub: SSH2 用 的 RSA 48]. 

m —/etc/ssh/ssh host dsa key: SSH2 用 的 DSA 445]. 

» X /etc/ssh/ssh host dsa key.pub: SSH2 用 的 DSA 4$]. 


2. RüB/etc/ssh/ssh config 文件 


letc/ssh/ssh M s NE 图 的 配置 文件 ， 人 允许 用 户 通 过 设置 不 同 的 选项 来 改 
变 客户 并 程序 的 运行 方式 。 该 文件 的 每 一 行 包含 “关键 词 一 值 ” 的 匹配 ， 其 中 “关键 词 ” 是 忽略 
ASH. Pig) E EIAS E], ie 但 看 帮助 页 (ssh (1) ) 可 以 得 到 详细 的 列表 。 
配置 需要 编辑 ssh_ config 文 件 〈vi /etc/ssh/ssh config) ， 添 加 或 改变 下 面 的 参数 : 


Eees 














HOSES 

ForwardAgent no 

ForwardX11 no 
民有 
BhostpskRoSAAUthentwedtronono 
RSAAuthentication yes 
PasswordAuthentication yes 
FallBackToRsh no 

UseRsh no 


BatchMode no 
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CheckHostIP yes 
StrpacovHlostheveneckezng no 
人 
EAT 
人 
Ric cuc In m 
下 面 逐 行 说 明 上 面 的 选项 设置 。 
a  Host*: 只 对 能 够 匹配 后 面 字 串 的 计算 机 有 效 。“*” 表 示 所 有 的 计算 机 。 
a — ForwardAgent no: ForwardAgent 设置 连接 是 合 经 过 验证 代理 《如 末 存 在 ) 转发 给 远程 
计算 机 。 
= — ForwardX11 no: 设置 X11 连接 是 否 被 目 动 重 定 辣 到 安全 的 通道 和 显示 集 (DISPLAY set). 
= A RhostsAuthentication no: 是 否 用 基于 rhosts 的 安全 验证 。 
= — RhostsRSAAuthentication no: 是 合用 RSA 算法 的 基于 rhosts 的 安全 验证 。 
a  RSAAuthentication yes: 是 合用 RSA 算法 进行 安全 验证 。 
= — PasswordAuthentication yes: 是 否 用 口令 验证 。 
= ”FallBackToRsh no: WRH SSH 连接 出 现 错误 是 否 自动 使 用 RSH。 
a — UseRshno: 是 否 在 这 台 计 算 机 上 使 用 rlogin/rsh。 
= ”BatchMode no: 如 果 设 为 yes, passphrase/password (交互 式 输入 口令 ) 的 提示 将 被 禁止 。 
当 不 能 交互 式 输 入 口令 的 时 候 ， 访 选项 对 脚本 文件 和 批 处 理 任务 十 分 有 用 。 
» — CheckHostIP yes: 设置 SSH 是 合 合 看 连接 到 服务 器 的 主机 的 卫 地址 以 防止 DNS FA o 
建议 设置 为 yes。 
mn StrictHostKeyChecking no: AREA yes. SSH 就 不 会 目 动 把 计算 机 的 密 钥 加 入 
$SHOME/.ssh/known hosts 文件 ， 并 且 一 旦 计算 机 的 密 钥 发 生 了 变化 ， 束 拒绝 连接 。 
» — ldentityFile—/.ssh/identity: 设置 从 哪个 文件 谈 取 用 户 的 RSA 安全 验证 标识 。 
mn  Port22: 设置 连接 到 远程 主机 的 端口 。 
a Cipher blowfish: ix E Jl 25 H HI 25 93. 
= — EscapeChar-: ix E escape 字符。 
假定 用 户 在 www.super.com 上 有 一 个 名 为 “baby” 的 账号 。 而 且 要 把 ssh-agent 和 ssh- addi S 
起 来 使 用 ， 并 且 使 用 数据 压缩 来 加 快 传 输 速 度 。 因 为 主机 名 太 长 了 ， 想 使 用 super 作 为 
www.Super.com 的 人 简称。 那么 ， 配 置 文件 可 以 如 下 编写 : 


Host *supern 



































HostName www.super.com 
User baby 

ForwardAgent yes 
Compression yes 

# Be paranoid by default 
HOSTES 

ForwardAgent no 


Eq sd Em 
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FallBackToRsh no 
当 用 户 输入 ssh super 之 后 ，SSH 会 自动 地 从 配置 文件 中 找到 主机 的 全 名 ， 使 用 用 户 名 登录 并 
且 用 ssh-agent 管 理 的 密 钥 进行 安全 验证 。 


3. 配置 /etc/ssh/sshd_config 文件 


/etc/ssh/sshd_config 是 OpenSSH 的 配置 文件 ， 人 允许 设置 选项 改变 这 个 daemon 的 运行 。 这 个 文 
件 的 每 一 行 包 含 “ 关 键 词 一 值 ” 的 匹配 ， 其 中 “关键 词 ” 是 忽略 大 小 写 的 。 下 面 列 出 来 的 是 最 重 
要 的 关键 词 ， 用 man 命 令 答 看 帮助 页 (sshd (8) ) 可 以 得 到 详细 的 列表 。 

编辑 sshd_config 文 件 〈vi /etc/ssp/sshd_ config) ， 添 加 或 改变 下 面 的 参数 : 


并 











Iq 2 


ListenAcelress 192.169.1.1 


Becek eee 0 ee Invest ee, 


ServerKeyBits 1024 


LoginGraceTime 600 


KeyRegenerationInterval 3600 


Fermite Root Ib eXoiaet e oko 


IgnoreRhosts yes 


IgnoreUserKnownHosts yes 


StrictModes yes 


XXI eo ro mo 


ET Me Ee 


Syo logkac trl itey AUTH 


LogLevel INFO 


Ios episc c ero 


RhostsRSAAuthentication no 


RSAAuthentication yes 


PasswordAuthentication yes 


PermitEmptyPasswords no 


AllowUsers admin 








JÍT W PH E E RETN HS V Ee 


Port 22: Port 设置 sshd Il Wr HI im H o 

ListenAddress 192.169.1.1: ListenAddress 设置 sshd Jl $2325 E I] IP 地 址 。 

HostKey /etc/ssh/ssh host key: HostKey 设置 包含 计算 机 私人 密 钥 的 文件 。 
ServerKeyBits 1024: ServerKeyBits 定义 服务 器 窗 钥 的 位 数 。 

LoginGraceTime 600: LoginGraceTime 设置 如 采用 户 不 能 成 功 登 录 ,， 在 切断 连接 之 前 服 
务 占 需要 等 等 的 时 间 (以 秒 为 单位 )。 

KeyRegenerationInterval 3600: KeyRegenerationInterval 设置 在 多 少 秒 之 后 目 动 重新 生成 
服务 器 的 密 铀 〈 如 宁 使 用 密 铀 ) 。 重 新 生成 密 钥 是 为 了 防止 使 用 盗用 的 密 钥 解答 被 稚 
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获 的 信息 。 

= ”PermitRootLogin no: PermitRootLogin 设置 root 能 不 能 用 SSH 登录 。 该 选项 一 定 不 要 设 
成 yes。 

» ”IgnoreRhosts yes: IgnoreRhosts 设置 验证 的 时 候 是 否 使 用 rhosts 和 shosts 文件 。 

=  IgnoreUserKnownHosts yes: IgnoreUserKnownHosts 设置 ssh daemon 是 人 否 在 进行 
RhostsRSAAuthentication 安全 验证 的 时 候 忽 略 用 户 的 SHOME/.ssh/known hosts. 

mn StrictModes yes: StrictModes 设置 SSH 在 接收 登录 请 求 乙 前 是 售 检 查 用 户 的 目录 和 
rhosts 文件 的 权限 和 所 有 权 。 这 通常 是 必要 的 ， 因 为 狐 手 经 党 会 把 目 己 的 目录 和 文件 设 
成 任何 人 都 有 写 权 限 。 

=  XllForwarding no: X11Forwarding 设置 是 否 允 许 X11 转发 。 

a  PrintMotd yes: PrintMotd 设置 sshd 是 个 在 用 户 登 录 的 时 候 显示 /etcmotd 中 的 信息 。 

a — SyslogFacility AUTH: SyslogFacility 设置 在 记录 来 日 sshd 的 消息 的 时 候 ， 有 是 否 给 出 
facility code. 

=  LogLevel INFO: LogLevel 设置 记录 sshd 日 志 消 息 的 层次 。INFO 是 一 个 好 的 选择 。 查 
看 sshd 的 man 帮助 页 ， 可 以 获取 更 多 的 信息 。 

= — RhostsAuthentication no: RhostsAuthentication 设置 只 用 rhosts EX/etc/hosts.equiv 进行 安 












































AU uA Ue EU I. 
= — RhostsRSAAuthentication no: RhostsRSA ix Eze f FEH rhosts BV/etc/hosts.equiv 加 
E RSA 进行 安全 验证 。 





s — RSAAuthentication yes: RSAAuthentication 设置 是 否 允 许 只 有 RSA 安全 验证 。 

= — PasswordAuthentication yes: PasswordAuthentication 设置 是 否 允 许 口 令 验证 。 

=  PermitEmptyPasswords no: PermitEmptyPasswords 设置 是 否 人 允许 用 口令 为 空 的 账号 登录 。 

a — AllowUsers admin: AllowUsers 的 后 面 可 以 跟 任意 数量 的 用 户 名 的 匹配 串 Cpatterns) 或 
user@host 这 样 的 匹配 率 ， 这 些 字 符 串 用 空格 隔 开 。 主 机 名 可 以 是 DNS 名 或 IP 地 址 。 


9.43 SSH 的 密 钥 管理 


SSH 的 密 钥 管理 主要 包括 两 个 方面 : 生成 公 钥 / 私 钥 对 以 及 公 钥 的 分 友 。 下 面 针 对 这 两 个 符 
HE SR LTEA) DIESETI JT 28» 
1. 生成 用 户 自己 的 密 钥 对 
生成 并 分 发 用 户 目 己 的 密 钥 有 以 下 两 个 好 处 。 
a 可 以 防止 “中 间 人 ”这 种 攻击 方式 。 
a 可 以 只 用 一 个 口令 就 登录 a 到 所 有 用 户 想 登录 的 服务 器 上 。 
用 下 和 面 的 命令 可 以 生成 密 钥 : 
#ssh-keygen 
如 果 远 程 主机 使 用 的 是 SSH 2.x3 REH FAS: 
#ssh-keygen -d 
在 同一 台 主 机 上 同时 有 SSH1 和 SSH2 的 密 钥 是 没有 问题 的 , 因为 密 钥 是 保存 为 不 同 的 文件 的 。 
ssh-keygen 命 令 运 行 之 后 会 显示 下 面 的 信息 : 
Generating RSA keys: 
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Key generation complete. 
Enter file in which to save the key (/home/[user]/.ssh/identity): 
/ / MEET F IBI ETENUT T 


Created directory '/home/[user]/.ssh'. 











Enter passphrase (empty for no passphrase):  // 输 入 的 口令 不 会 显示 在 屏幕 上 
// 重 新 输入 一 过 口令 ， 如 条 瑟 记 了 口令 驶 只 能 重新 生成 一 次 密 钥 了 

Enter same passphrase again: 

// 保 存 用 户 的 私人 密 钥 和 公用 密 铀 


Your identification has been saved in /home/[user]/.ssh/identity. 





Your public key has been saved in /home/[user]/.ssh/identity.pub. 
Weak e tome premise A eec EM Cer 
[user]8 [local machine] 
ssh-keygen -d 做 的 是 几乎 同样 的 事 ， 但 需 把 一 对 密 钥 存 为 〈 默 认 情 况 下 ) /home/[user] 
/.ssh/id dsa〈 私 人 密 钥 ) 和 /home/[fuser]/.ssh/id dsa.pub (公用 密 钥 〉。 
现在 用 户 拥 有 一 对 密 铀 : 公用 密 钥 要 分 发 到 所 有 用 户 想 用 SSH 有 登录 的 远程 主机 上 去 : 私人 密 
钥 要 好 好 地 保管 ， 防 止 别 人 知道 私人 密 钥 。 用 1s-] ~/.ssMidentity 或 ls-1 —/.ssh/id dsa 所 显示 的 文件 的 
访问 权限 必须 是 “-rw------- 7 s 
2. 分 发 公用 密 钥 
在 每 一 个 用 户 需 要 用 SSH 连 接 的 远程 服务 左上， 用 户 要 在 目 己 的 主 目 录 下 创建 一 个 .ssh 的 子 
目录 ， 把 用 户 的 公用 密 钥 identity.pub 找 贝 到 这 个 目录 下 并 把 它 重 命名 为 “authorized keys" . 4^ 
后 执行 : 
S S EE es 
这 一 步 是 必 不 可 少 的 。 如 果 除 了 用 户 之 外 别人 对 authorized keys LEA SIR, SSEDE 
不 会 工作 。 
如 果 用 户 想 从 不 同 的 计算 机 登录 到 远程 主机 ，authorized_keys 文 件 也 可 以 有 多 个 公用 密 钥 。 
在 这 种 情况 下 ， 必 须 在 新 的 计算 机 上 重新 生成 一 对 密 铀 ， 然 后 把 生成 的 identify.pub 文 件 捞 贝 并 粘 
巾 到 远程 主机 的 authorized_ keys 文 件 中 。 当 然 在 新 的 计算 机 上 用 尸 必须 有 一 个 账 亏 ， 而 且 密 钥 是 
用 口令 保护 的 。 有 一 后 很 重要 ， 束 是 当 用 户 取 消 了 该 账号 之 后 ， 别 态 了 把 这 一 对 密 钥 删 挥 。 


9.4.4 使 用 scp 命令 远程 拷贝 文件 


如 前 面 所 介绍 的 测试 SSH 服 务 器 的 功能 步骤 所 示 ，SSH 提 供 了 一 些 命令 和 shell 用 来 登录 远程 
服务 器 ， 在 默认 情况 下 其 并 不 允许 用 户 找 贝 文件 。 但 为 了 方便 用 户 使 用 ， 它 还 是 提供 了 一 个 scp 
命令 ， 用 户 可 以 使 用 该 命令 来 进行 文件 的 远程 捞 贝 工作 。 

假定 用 户 想 把 本 地 计算 机 当前 目录 下 的 一 个 名 为 “share ”的 文件 找 见 到 远程 服务 器 
www.remote.com 上 用 户 的 家 目录 下 。 而 且 用 户 在 远程 服务 器 上 的 账号 名 为 “super”。 可 以 用 这 


个 命令 : 





















































scp share super(www.foobar.com:. 


把 文件 拷贝 回来 用 这 个 命令 : 


Aly ~r 


PIF 
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scp super(üwww.remote.com:share. 
scp 调 用 SSH 进 行 登录 ， 然 后 拷贝 文件 ， 最 后 调用 SSH 关 闭 这 个 连接 。 
如 果 在 用 户 的 ~/.ssh/config 文 件 中 己 经 为 www.foobar.com 做 了 如 下 的 配置 : 
HO nC 
HostName www.remote.com 
User super 


ForwardAgent yes 


HA HF in UH fbeK f VU bilbo@www.foobar.com, me mfa N sep dumb fbc:.. 
scp 假 定 用 户 在 远程 主机 上 的 家 目录 为 用 户 的 工作 目录 。 如 果 用 户 使 用 相对 目录 束 要 相对 于 
根 目 录 。 
用 scp 命 令 的 -t+ 参 数 允 许 递 归 地 拷贝 目录 。scp 也 可 以 在 两 个 不 同 的 远程 主机 之 间 拷 贝 文件 。 
在 使 用 过 程 中 ,有 时 候 用 户 可 能 会 试图 进行 如 下 操作 : 用 SSH 登 录 人 a 到 www.remote.com 上 之 后 ， 
命令 “scp [local machine]:share .”， 想 用 其 把 本 地 的 share 文 件 拷贝 到 用 户 当 前 登录 的 远程 服 
器 上 。 这 时 候 用 户 会 看 到 下 面 的 出 错 信 息 : 
ssh: secure connection to [local machine] refused 
之 所 以 会 出 现 这 样 的 出 钳 信 息 是 因为 用 户 运 行 的 是 远程 的 scp 命 令 ， 访 命令 试图 登录 到 在 用 
户 本 地 计算 机 上 运行 的 SSH 服 务 程序 , 而 这 样 做 是 不 允许 的 ,除非 用 户 的 本 地 计算 机 也 运行 看 SSH 
服务 程序 。 


9.45 ”使 用 SSH 设置 “加 密 通道 ” 


SSH 的 “加 密 通 道 ” 是 通过 “ 闯 口 转 肥 ”来 实现 的 。 用 户 可 以 在 本 地 端口 (没有 使 用 过 的 ) 
和 远程 服务 豆 上 运行 的 东 个 服务 的 站 口 之 间 建 立 “ 加 复 通 道 ”。 所 有 对 本 地 交口 的 请 求 都 被 SSH 



























































加 密 并 且 转 发 到 远程 服务 硕 的 病 口 。 当 然 只 有 远程 服务 右上 运行 SSH 服 务 亏 软件 的 时 候 “ 加 密 通 
道 ” 才 能 工作 。 可 以 用 下 面 的 命令 检查 一 些 远 程 服务 占 古 合 运 行 SSH 服 务 : 





telnet [远程 主机 的 名 字 全 称 ] 22 
如 果 收 到 这 样 的 出 错 信 息 : 
telnet: Unable to connect to remote host: Connection refused 
中 说 明 远程 服务 器 上 没有 运行 SSH 服 务 软件 。 
山口 转发 使 用 以 下 命令 语法 : 
ssh -f [远程 主机 上 的 用 户 名 ] -L [本 地 站 口号] : [远程 主机 的 名 字 全 称 ] : [远程 端口 ] [命令 ] 
不 仅 可 以 转发 多 个 端口 , 而 且 可 以 在 ~/.ssh/config 文 件 中 用 LocalForward 设 置 经 党 使 用 的 一 些 
THER H o 


1. 为 POP 加 上 “加 密 通 道 ” 


可 以 使 用 POP 协议 从 服务 器 上 获取 E-mail。 为 POP 加 上 “加 密 通 道 ” 可 以 防止 POP 的 密码 被 
网 络 监听 器 〈sniffer、TCPDUMP 等 软件 ) 监听 到 。 还 有 一 个 好 处 就 是 SSH 的 压缩 方式 可 以 让 邮件 
传输 得 更 快 。 

假定 用 户 在 pop.foobar.com 上 有 一 个 POP 账号 ， 用 户 的 用 户 名 是 “bilbo”, 用 户 的 POP 口令 是 
“topsecret”。 用 来 建立 SSH“ 加 密 通 道 ” 的 命令 是 : 
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SEE 
(如 果 要 测试 ， 可 以 把 sleep 值 加 到 500) 。 运 行 这 个 命令 之 后 会 提示 用 户 输入 POP 口令 : 
Ios oro o puto oio aspe cO IMS NT GI CIS WO Ges 
输入 口令 之 后 就 可 以 用 telnet 连 接 到 本 地 的 转发 端口 了 。 
cedboaew ee 1224 
用 户 会 收 到 远程 Mall 服 务 器 的 READY 消 息 。 
当然 ， 这 个 方法 要 求 用 户 手 工 输入 所 有 的 POP 命令 ， 这 是 很 不 方便 的 。 可 以 用 Fetchmail CZ 
考 how to configure Fetchmail ) . Secure POP via SSH mini-HOWTO 、man fetchmail 和 在 
/usr/doc/fetchmail-[…] 目 录 下 的 Fetchmail 的 FAQ 都 提供 了 一 些 具体 的 例子 。 


2. 为 X 加 上 “加 密 通 道 ” 
如 采用 户 打算 在 本 地 计算 机 上 运行 远程 SSH 服 务 嚣 上 的 X 窗 口 系统 程序 ， 那 么 登录 到 远程 计 
算 机 上 ， 创 建 一 个 名 为 “~/.ssh/environment” 的 文件 并 加 上 这 一 行 : 


XAUTHORITY-/home/[remote user name]/.Xauthority 
比如 启动 一 个 X 程 序 (xterm). 可 以 使 用 这 个 命令 : 


ssh -f -X -I [remote user name] [remote machine] xterm 
这 将 在 远程 运行 xterm 程 序 。 其 他 的 X 程 序 也 是 用 相同 的 方法 。 
3. 为 Linuxconf 加 上 “加 密 通道 ” 


Linuxconf 是 Linux 的 配置 工具 ， 文 持 远 程 管理 。 使 用 linuxconf 的 命令 为 : 









































ensi nk en OT IU TOR OR 
如 采用 户 想 在 两 台 计 算 机 之 间 用 加 密 的 方式 传送 信息 ， 那 么 最 好 使 用 ssh， 命 令 是 : 
二 











这 是 一 种 非常 有 效 的 采用 图 形 界 面 管理 计算 机 的 方式 。 这 种 方法 需要 在 客户 问安 装 
linuxconf。 其 他 的 方法 还 有 直接 登录 到 服务 右上 用 “X11Forwarding” 或 字符 界面 运行 linuxconf。 





ETM 应 用 三 : 使 用 OpenSSL 进行 应 用 层 加 密 








通 第 的 连接 方式 中 , 通信 和 是 以 非 加 密 的 形式 在 网 络 上 传播 的 , 这 样 束 有 可 能 锐 非 法 忽 昕 到 ， 
尤其 古 用 于 认证 的 口令 信息 。 为 了 避 人 多 这 个 安全 漏洞 ， 束 必须 对 传输 过 程 进行 加 密 。 对 HTTP 
传输 进行 加 密 的 协议 为 HTTPS, 它 是 通过 SSL 进 行 HTTP 传 输 的 协议 , 不 但 通过 公用 密 钥 的 算法 
进行 加 密 保 证 传输 的 安全 性 ， 而 且 还 可 以 通过 获得 认证 证 书 CA， 你 证 客户 连接 的 服务 左 没 有 
WE R o 

SSL 协 议 使 用 通信 双方 的 客户 证 书 以 及 CA 根 证 书 ， 人 允许 客户 /服务 器 应 用 以 一 种 不 能 被 偷 昕 
的 方式 通信 ， 在 通信 双方 间 建 立 起 了 一 条 安全 的 、 可 信任 的 通信 通道 。 它 具备 以 下 基本 特征 : 信 
县 保密 性 、 信 息 完 整 性 、 相 互 鉴定 。 该 协议 主要 使 用 Hash 编 码 、 加 密 技 术 。 

具体 使 用 OpenSSL 机 制 对 通信 进行 加 密 的 方法 已 经 在 第 7 半 进 行 了 详细 讲述 ， 这 里 不 再 袭 述 。 
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96 数据 防 泄露 技术 原理 及 其 应 用 


数据 泄露 防护 (Data Leakage Prevention, DLP) ， 又 称 为 “数据 丢失 防御 ” (Data Loss 
Prevention, DLP) ， 有 时 也 称 为 “信息 泄露 防御 ” (Information Leakage Prevention, ILP) 。 数 
据 汇 露 防护 是 通过 一 定 的 技术 手段 , 防止 企业 的 指定 数据 或 信息 资产 以 违反 安全 策略 规定 的 形式 
流出 企业 。 
通常 认为 ，DLP 在 实施 之 前 分 六 个 步 又 进行 准备 。 
(D 企业 先 将 数据 进行 分 类 ， 同 时 对 “ 涉 密 数据 ”进行 定义 ， 然 后 确定 哪些 数据 需要 体 护 。 
(2) 人 确定 涉 密 数据 在 企业 系统 中 的 存放 位 置 , 企业 应 明确 有 多 少数 据 存放 在 员工 的 计算 机 、 
公司 的 服务 器 或 数据 库 等 。 
(3) 清楚 掌握 数据 的 位 置 ， 便 能 为 数据 的 流出 、 流 入 提供 实时 的 监控 及 保护 ， 包 括 经 电子 
邮件 、http、 即 时 消息 等 途径 发 放 的 资料 。 
(4) 数据 泄露 很 多 都 是 人 为 所 致 ， 因 此 企业 必须 制定 员工 传送 机 密 数 据 的 权限 。 
C5) 企业 尔 需 监控 数据 被 送 达 的 地 方 是 否 安全 ， 如 商业 伙伴 或 网 上 电子 邮件 等 。 
(6) 企业 必须 注意 员工 运用 什么 途径 传送 档案 ， 这 些 途 径 包 括 所 有 移动 储存 便 盘 和 点 对 点 
传送 等 。 
完整 执行 上 述 六 个 步 台 ,基本 可 以 对 企业 的 机 密 资 料 做 出 全 面 横 理 ,为 实施 DLP 做 好 基础 性 
工作 。 把 涉 密 信息 与 非 涉 密 信息 区 分 开 来 ， 采 用 等 级 管理 办 法 ， 针 对 不 同 的 信息 分 别 进行 防护 。 
在 商业 软件 领域 ， 亿 赛 通 、websense 等 公司 都 有 目 己 的 产品 。 而 在 开源 软件 领域 ， 这 方面 的 
几乎 没有 ， 在 本 文 推荐 一 下 由 Goolge 主 导 的 OpenDLP。 
OpenDLP 是 一 个 免费 /开放 源 代 码 、 基 于 代理 /无 代理 、 集 中 式 、 大 规模 分 派 的 数据 防 泄露 工 
具 。 通 过 一 个 集中 式 的 Web 应 用 程序 和 使 用 恰当 Windows、UNIX、MySQL、MSSQL 的 凭据 ， 
OpenDLP 能 够 识别 出 数 以 生计 的 Windows 操 作 系统 、UNIX 操 作 系 统 、MySQL 数 据 库 和 MSSQL 
数据 库 的 敏感 数据 泄露 问题 。 通 过 测试 ， 目 前 该 产品 还 不 是 非常 成 熟 ， 仪 仅 其 备 定位 和 发 现 补 官 
理 机 右上 敏感 数据 的 泄露 功能 ， 但 是 不 能 进行 控制 和 阻 断 ， 因 此 可 以 理解 为 一 个 挫 形 。 
在 使 用 过 程 中 ， 可 以 从 网 站 http://code.google.com/p/opendlp/downloads/list 下 载 已 经 准备 好 的 
虚拟 机 ， 然 后 控 照 README 文 件 的 指导 ， 进 行 如 下 儿 个 步 缀 的 操作 。 
(C1) 从 http:/www.virtualbox.org 下 载 并 安装 virtualbox 虚 拟 机 软件 。 
(2) 将 下 载 的 OpenDLP 虚 拟 机 叶 入 到 virtualbox 中 。 
(3) 从 Windows 系 统 找 风 sc.exe 文 件 到 虚拟 机 中 的 /Var/www/OpenDLP/bin 目 录 。 
(4) 将 client.p12 文件 导入 到 你 的 下 浏览 器 中 ， 作 为 数学 证 书 。 
这 样 束 可 以 体验 效果 了 。 上 其 体 如 下 。 
(D 打开 Web 探 制 上 六， 进行 扫描 设 定 ， 如 图 9-21 所 示 。 
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OpenDLP 0.4.2 — Windows Internet Explorer DER) 


GOO- Euer 
Xt) REO SEV KERA IAW 和 几 助 0 
宽 收 就 天 | d. Germ E) 网 页 快讯 库 - 























| Open? 0.4.2 | A- A c d map- z207 IRO0- @- 
OpenDLP 0.4.2 





ÜpenDLP is a free and open source, agent-based, centrally-managed, massively distributable data loss prevention tool released under the GPL. OpenDLP can 
Regular Expressions identify sensitive data at rest on thousands of systems simultaneously. OpenDLP has two components: 
Scans 
False Positives Web Application 
Logs ə Automatically deploy and start agents over SMB 
OpenDLP Homepage se When done, automatically stop, uninstall, and delete agents over SMB 
Pause, resume, and forcefully uninstall agents in an entire scan or on individual systems 
Concurrently and securely receive results from hundreds or thousands of deployed agents 
Create Perl-compatible regular expressions (PCREs) for finding sensitive data at rest 
Create reusable profiles for scans that include whitelisting or blacklisting directories and file extensions 
Review findings and identify false positives 
e Export results as XML 
Agent 
e Runs on Windows 2000 and later systems 
e Written in C with no .NET Framework requirements 
e Runs as a Windows Service at low priority so users do not see or feel it 
e Resumes automatically upon system reboot with no user interaction 
e securely transmit results to web application at user-defined intervals 
e Uses PCREs to identify sensitive data inside files 
e Performs additional checks on potential credit card numbers to reduce false positives 
AÀgentless Database Scans 
Starting with OpenDLP 0.3, you can now perform agentless data discovery against the following databases: 
e Microsoft SQL server databases: Supports authenticating to databases either with SQL server credentials (the "sa" account, for example) or with 
Windows OS (domain) credentials. 
* MySQL 
To Get Started 
Assuming the README has been followed and OpenDLP is properly installed on the web server, you can: 
e Review existing PCREs and add your own 
e Create a profile with PCREs, appropriate authentication credentials, and other policy settings 
e Stat a scan by providing a list of Windows systems 
e Review results and mark false positives 
e Exportthe scan as XML and use the data offline 
OpenDLP is maintained by Andrew Gavin. 
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图 9-21 扫描 设 定 
D 进行 扫描 设 定 ， 配 置 profile， 然 后 启动 扫描 ， 如 图 9-22 所 示 。 


OpenDLP 0.4.2 - Findows Internet Explorer DAR) 
GS- 
文件 四 ”编辑 外 SEV KERA IAW #MW 
ARER | 回 建 议 网 站 ”图 网 页 快讯 库 > 
| Open? 0.4.2 | fuc A EM-I z207 rIRO- @- 


Create a new scan profile 























Profile Name ®© test 








Scan Type © Windows Filesystem (agentless over SMB) 


一 一 Expressions Mask Sensitive Data? @ 
cans 


False Positives Username ®© Wi 


Logs 
OpenDLP Homepage Password 二 


Windows Domain/Workgroup ®© 
(For Windows OS scans (except 
Windows Share scans): Required. 

For MSSQL DB scans: 

e Specify if you are using OS account 
* Leave blank if using DB account 


SMBHash ®© 


























Memory Limit © 
(as percent of target system's total RAM) 








O Scan all directories 
© Scan all directories except these (recursive) 
© Only scan the following directories (recursive) 





c:\windows 


Directories ®© c: \winnt l 
(Newline-delimit the file extensions in this c:\System Volume Information 
list) 











O Scan all files 
(9 Scan all files except files with the following extensions 
© Only scan files with the following file extensions 
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File Extensions @ 3g2 
(Newline-delimit the file extensions in this list) 3gp 
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图 9-22 ”局 动 扫描 
(8) 查看 扫描 结果 ， 如 图 9-23、 图 9-24 所 示 。 


View Results 


- Select a system to view its results for scan "test 4": 
Regular Expressions 


Scans | [Network name |IP address [Status [Step [Files done [Total files [Bytes done [Total bytes [Updated [Findings Pause [Resume [Uninstall 


nz 192.158.1.121 running 2: Scanning| 19614 | 29984 931630726 [1764587173 00:01:40 ago| 74 | Pause | | Peuse ||wA | Uninstell | |. Uninstall | 
| [| 5 52.8096 done, approx 00:09:58 remaining 


ESI paz 192.168.1. 119 [running b: Scanning| 991| 11351 501778250 [1949811839 po: 02:58 se] 104 |. Pause | | Peuse ||wA | Uninstell | |. Uninstall | 
Logs | — | 25.7396 done, approx 00:15:35 remaining 


View Results | 










Klo-23 Hak CDD 
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View Results 


Results for database server 192.168.1.127: 


Sep — | soe 
DemsesDone | — >? 
Databases Toa | — >? 
TobesDone | — 2 
meet | — 2 
Progress E 
Completion Time | — — — — 
an | —— i 
Faise Postes | — 

1 


Use 


Stop and Uninstall 


Rg [Parem Dsiabase[rabie Colum 
1 |Social Security Number dashes|423-12-4591|users ^ users 

users — |users 
users 


2 [Socia Security Number ashes 5232s 5621 =m 
5 Socia Security Number deshes[242-4-1009 user — fusersfssn | 
« [Socia Security Number desnes|075.23.6547 lusers luserslson | 
5 [Socia Security Number dashess21-12-1234fusers luserslson [5 | 
s Soci Security Numer dosnes|54 14.9456 lusors en — 


Q ICasial Cannrih: Ahimhar danhaal TOE 02 1024 hinarana nanrnlann o 


Klo-23 ” 扫 摘 结果 (2) 
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本 章 导 读 


随 着 网 络 通 信 技 术 的 发 展 和 网 络 应 用 的 
不 断 涌现 ，500 强 企业 不 可 避免 地 存在 越 来 
越 多 的 用 户 数据 和 企业 信息 在 互联 网 进行 传 
送 。 随 之 而 来 的 是 越 来 越 多 的 黑客 和 网 络 威 
胁 ， 他 们 对 这 些 机 密 、 敏 感 的 数据 采用 各 种 
手段 进行 窃取 、 自 改 和 破坏 ， 从 而 达到 其 不 
可 告 人 的 目的 。 因 此 ， 通 信 数 据 的 安全 性 受 
到 前 所 未 有 的 挑战 。 鉴 于 这 个 目的 ， 保 证 数 
据 传输 安全 的 VPN 技术 应 运 而 生 。 

因此 ,本 章 将 详细 介绍 VPN 技术 的 基本 
原理 和 分 类 ， 并 深入 分 析 和 探讨 如 何 使 用 开 
源 的 VPN 技术 来 保障 500 强 企业 的 移动 数据 


通信 安全 。 
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ETYM VPN 使 用 需求 分 析 


10.1.1 VPN 简介 


VPN (Virtual Private Network) ， 虚 拟 专用 网 ， 指 在 公共 网 络 〈 如 Internet) 上 构建 临时 的 、 
安全 的 逻辑 网 络 的 技术 ， 如 图 10-1 所 示 。 
< 证 拟 ” 的 公司 私有 网 络 3 








ur ecc 如 


站 到 站 的 虚拟 连接 






总 公司 网 络 


1. 市 省 费用 

机 构 明 布 各 地 的 公司 ,尤其 路 越 国 家 的 公司 ， 可 以 通过 VPN 接 入 总 部 网 络 。VPN 利 用 了 现 有 
的 公共 网 络 资源 ， 从 而 市 省 了 公司 租用 运营 商 跨 省 、 跟 海 专 线 的 费用 。 分 文 机 构 网 络 通 过 VPN 接 
入 总 部 后 ， 束 好 比 与 总 部 网 络 接 入 同一 个 局 域 网 ， 可 访问 总 部 网 络 能 访问 的 各 项 资源 ， 如 图 10-2 
所 示 。 




















利用 现 有 的 Internet 资源 ， 可 以 轻 轻 实现 各 个 分 公 





每 一 个 分 公司 都 要 和 总 部 申请 一 条 专线 ， 这 些 专 线 ds 
的 费用 要 远 远 高 于 Internet 线路 的 费用 


英国 分 公司 


EN 






新 加 坡 分 公司 


.- 
- 
PL 
B 






图 10-2”VPN 连 接 示 意图 


2. 安全 保密 


为 保证 数据 不 在 网 络 (尤其 是 公共 网 络 ) 上 被 窃取 ， 通 过 VPN 技 术 实 现 数 据 加 密 传 送 。 需 要 
澄清 的 一 点 是 ，VPN 技 术 有 多 种 ， 并 非 所 有 的 VPN 标 准 均 具 有 高 安全 性 ， 如 图 10-3 所 示 。 
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图 10-3” VPN 安全 示意 图 


10.1.2. VPN 安全 技术 分 析 


dediti cai ipai More 这 四 项 技术 分 别 是 隧道 技术 (Tunneling) 、 加 / 解 


密 技 术 〈Encryption & Decryption) 、 密 钥 管 理 技术 (Key Management) 、 使 用 者 与 设备 身份 认 
证 技术 (Authentication . 


1. 隧道 技术 

” 隘 过 技术 是 VPN 的 基本 技术 , KAT SUR IRURE 车 接 技术 , 它 在 公用 网 络 上 建立 一 条 安全 的 数据 

道 〈 隧 道 ) ， 让 数据 包 通 过 这 条 隧道 进行 传输 。 

隧道 是 由 隧道 协议 形成 的 ， 分 为 第 二 、 三 层 隧 道 协 议 ， 对 应 TCP/ 了 下 协议 栈 中 的 数据 链 路 层 和 
网 络 层 。 第 二 层 降 道 协 议 是 先 把 各 种 网 络 协议 封装 成 为 第 二 层 帧 ， 再 把 整个 帧 装 入 隧道 协议 中 。 
这 种 双 层 封 钱 方法 形成 的 数据 包 菲 第 二 层 协议 进行 传输 ， 如 网 10-4 所 示 。 














PN 隧道 HU 





第 三 层 ie E i ET 
报 文 结构 网 络 层 报头 网 络 层 数据 


~ \ 
~ \ 
~. \ 


N 


第 二 层 
帧 结构 链 路 层 协 议 帧 头 链 路 层 数 据 
链 路 层 协议 帧 关 链 路 层 数据 VPNA ERR. 


图 10-4 VPN 隧道 示意 
三 层 隧道 协议 是 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 , 形成 的 数据 包 依靠 第 三 层 协议 进行 
传输 。 es ， 如 图 10-5 所 示 。 
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第 三 层 网 络 层 报头 网 络 层 数据 
报 文 结构 — - 


~ 


新 网 络 层 报头 VPNERRH 原 网 络 层 报头 网 络 层 数 据 VPN 封 装 报 尾 | VPN 封 装 验 证 信息 


图 10-5. VPN 封装 报 文 结构 


第 二 层 CPN 封装 
报 文 结构 





2. 加 /解密 技术 


不 同 的 VPN 协 议 采 用 的 加 密 方 式 不 同 , 但 所 有 的 加 密 算法 可 归结 为 两 大 类 : 对 称 式 加 密 算法 
和 非 对 称 式 加 密 算 法 。 
对 称 式 加 蜜 束 是 加 密 和 解密 使 用 同一 个 密 钥 ,通常 称 之 为 “Session Key”， 这 种 加 密 技 术 日 
本 被 广泛 采用 。 对 称 式 加 密 原 理 简 单 ， 加 /解密 速度 快 ， 但 密 钥 的 分 友 过 程 ( 如 在 网 络 上 传输 ) 
本 号 就 存在 泄露 的 可 能 性 ， 带 来 安全 性 问题 。 
非 对 称 陈 加 密 束 是 加 密 和 解密 所 使 用 的 不 是 同一 个 密 铀 ， 通 钊 有 两 个 密 钥 ， 称 为 “ 公 钥 ”和 
“ 私 铀 ”， 它 们 两 个 必须 配对 使 用 。 这 里 的 “ 公 钥 ”是 指 可 以 对 外 公布 的 ，“ 私 铀 ” 则 不 能 ， 只 
能 由 持 有 人 一 个 人 知道 。 通 信 双 方 使 用 对 方 的 公 钥 对 发 送 的 传输 内 容 进 行 加 密 ， 而 利用 目 己 的 私 
钥 对 接收 的 传输 内 容 进 行 解 黎 。 由 于 解密 的 私 钥 是 不 传输 的 ， 这 样 驶 很 好 地 避免 了 密 钥 分 发 市 来 
的 安全 性 问题 。 
如 MPPE (Microsoft Point-to-Point Encryption， 人 微软 专 有 技术 ， 一 种 对 数据 链 路 层 的 加 密 技 
术 ) 加 密使 用 40—128 位 密 钥 ， 使 用 对 称 加 密 算 法 ; IPSec 采 用 64 位 或 者 3 组 64 位 密 钥 ， 使 用 
对 称 加 密 握 法 ; SSL 采 用 64 一 128 位 加 密 密 钥 ， 使 用 非 对 称 加 密 算法 。 
一 般 来 说 ， 密 钥 的 位 数 越 长 ， 越 难以 被 破解 。 因 此 ， 综 合 分 析 采 用 128 位 的 SSL 加 密 技术 或 
采用 3 组 64 位 加 密 密 钥 的 IPSec 是 最 为 安全 的 。 
3. 密 钥 合理 技术 
密 钥 管理 技术 的 主要 任务 是 如 何在 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 盘 取 。 现 行 密 钥 管理 
技术 分 为 SKIP 与 ISAKMP 两 种 。 
SKIP 主 要 是 利用 Diffie-Hellman 的 演算 法 则 ， 在 网 络 上 传输 密 钥 ; 以 两 人 Alice 和 Bob 通 信 为 
Ml, Diffie-Hellman% HH FENU F o 
首先 ，Alice 和 Bob 双 方 约定 两 个 大 整数 : 素数 p 及 其 原 根 g， 其 中 1<g<p， 这 两 个 整数 无 须 保 
密 ， 然 后 执行 下 面 的 过 程 。 
(15 Alice 随 机 选择 一 个 大 整数 x 保密 ) ， 并 计算 X=gx mod p. 
(2) Bob 随 机 选择 一 个 大 整数 y URE) ， 并 计算 Y=gy mod po 
(3) Alice 把 X 发 送 给 Bob，Bob 把 Y 发 送 给 Alice。 
(4) Alice 计 算出 K=Yx mod p. 
(5) Bob 计 算出 K=Xy mod p. 
K 即 是 共 侍 的 密 钥 。 双 方 计算 出 相同 的 K， 这 是 利用 了 数学 的 性 质 。 
假设 监听 者 Eve 在 网 络 上 只 能 监 昕 到 XX 和 Y， 但 无 法 通过 X,Y 计算 出 x 和 y， 因 此 ，Eve 无 法 计 
算出 K。 
ISAKMP 使 用 了 前 述 的 非 对 称 加 密 算 法 ， 双 方 都 有 两 把 蜜 钥 ,分 别 用 于 公用 、 私 用 。 比 如 有 
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两 个 用 户 Alice 和 Bob，Alice 想 把 一 段 明 文通 过 双 钥 加 密 的 技术 发 送 给 Bob，Bob 有 一 对 公 铀 和 私 
铀 ， 那 么 加 密 和 解密 的 过 程 如 下 。 

(1) Bob 将 他 的 公开 密 钥 传送 给 Alice。 

(2) Alice 用 Bob 的 公开 警 钥 加 警 她 的 消 县 ， 然 后 传送 给 Bob。 

(3) Bob 用 他 的 私人 密 钥 解密 Alice 的 消 居 。 

4. 使 用 者 与 设备 身份 认证 技术 

使 用 者 与 设备 身份 认证 技术 最 第 用 的 是 使 用 者 名 称 、 密 但 或 令 牌 认证 等 方式 。 通 过 VPN 接 入 
设备 与 Active Directory 服 务 器 、LDAP 服 务 器 或 者 动态 密码 服务 器 集成 ， 提 高 认证 的 准确 性 与 安 
全 性 ， 如 图 10-6 所 示 。 

















图 10-6 VPN 与 其 他 基础 设施 的 集成 


ETYJ Linux 提供 的 VPN 类 型 


10.2.1 IPSec VPN 


IPSec (IP Security) 是 为 实现 VPN 功能 而 最 普 近 使 用 的 协议 。 通 过 相应 的 隧道 技术 ， 可 实 
现 VPN。IPSec 有 两 种 模式 : 隧道 模式 和 传输 模式 。 
IPSec 不 是 一 个 单独 的 协议 ， 它 给 出 了 应 用 于 耻 层 上 网 络 数据 安全 的 一 整套 体系 结构 。 该 体 
系 结构 包括 认证 头 协议 (Authentication Header， 人 简称 为 AH) 、 封 装 安全 负载 协议 (Encapsulating 
Security Payload, fEjERZJESPO 、 密 钥 管 理 协议 CInternet Key Exchange， 人 简称 为 KE) 和 用 于 网 
络 认证 及 加 密 的 一 些 算法 等 。 
IPSec 规定 了 如 何在 对 等 体 之 间 选 择 安 全 协议 、 确 定安 全 算法 和 和 密 钥 交换 ， 同 上 提供 了 访问 
控制 、 数 据 源 认证 、 数 据 加 密 等 网 络 安全 服务 。 
a 认证 头 协议 CAH) . IPSec 体系 结构 中 的 一 种 主要 协议 ， 它 为 卫 数据 包 提 供 无 连接 完 
整 性 与 数据 源 认证 ， 并 提供 保护 以 避免 重播 情况 。AH 尽 可 能 为 IP 头 和 上 层 协议 数据 
提供 足够 多 的 认证 。 
mn IPSec 封装 安全 负载 (ESP) 。IPSec 体系 结构 中 的 一 种 主要 协议 。ESP 加 密 需 要 保护 的 
数据 并 且 在 IPSec ESP 的 数据 部 分 进行 数据 的 完整 性 校 验 ， 以 此 来 保证 机 密 性 和 完整 
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性 。ESP 提供 了 与 AH 相同 的 安全 服务 并 提供 了 一 种 你 密 性 (加 密 〉 服务 ，ESP 与 AH 
各 日 提供 的 认证 的 根本 区 别 在 于 它们 的 窗 新 汇 闭 。 

a HEHH AKE) 。 一 种 寓 合 型 协议 ， 由 Internet ZERKA (SA) 和 密 钥 管理 协议 
(ISAKMPO 这 两 种 密 钥 交换 协议 组 成 。IKE 用 于 协商 AH 和 ESP 所 使 用 的 密码 算法 ， 
并 将 算法 所 需 的 必 备 密 钥 放 到 恰当 位 置 。 

该 技术 的 优点 是 定义 了 一 套用 于 认证 、 保 护 私 有 性 和 完整 性 的 标准 协议 。IPSec 文 持 一 系列 
加 密 算 法 ， 如 DES、 三 重 DES、IDEA。 它 检 奏 传输 的 数据 包 的 完整 性 ， 以 确信 数据 没有 被 修改 。 
IPSec 用 来 在 多 个 防火 墙 和 服务 器 之 间 提 供 安 全 性 。IPSec 可 确保 运行 在 TCP/IP 协 议 上 的 VPNs 之 间 
的 互 操作 性 。 该 技术 的 缺点 是 IPSec 在 客户 机 /服务 器 模式 下 实现 有 一 些 问 题 ， 在 实际 应 用 中 ， 需 
要 公 钥 来 完成 。IPSec 和 需要 已 知 范 围 的 下 地 址 或 固定 范围 的 下地 址 ， 因 此 在 动态 分 配 耻 地 址 时 不 太 
适合 于 IPSec。 除 了 TCP/P 协 议 外 ，IPSec 不 支持 其 他 协议 。 另 外 配置 比较 复杂 。 

在 具体 的 使 用 中 ，Linux 实 现 使 用 IPSec 的 软件 是 : Free SWAN http:/www.freeswan.org/。 
FreeS/WAN 不 支持 NAT (Network Address Translation， 网 络 地 址 翻译 ) 和 IP 地 址 伪装 用 于 加 密 通 
道 通 信 。 

10.2.2 PPP Over SSH 


SSH 是 一 种 基于 安全 会 话 目的 的 应 用 程序 。SSH 文 持 身 份 认 证 和 数据 加 密 ， 对 所 有 传输 的 数 
据 进 行 加 密 处 理 。 同 时 ， 可 以 对 传输 数据 进行 压缩 处 理 ， 以 加 快 数据 传输 速度 。SSH 既 可 以 代 谷 
Telnet 作 为 安全 的 远程 登录 方式 , 又 可 以 为 FTP、POP 等 提供 一 个 安全 的 “隧道 ”。OpenSSH 是 SSH 
的 替代 软件 包 ， 是 免费 的 。 用 PPP 端 口 在 SSH 上 运行 技术 实现 VPN 的 方法 ， 其 优点 是 安装 配置 简 
单 ; 缺点 是 运行 时 系统 开销 比较 大 。 了 PPP Over SSH 的 具体 应 用 软件 有 SSHVNC 

Chttp://3sp.com/products/sshtools/sshvnc/sshvnc.php) 。 
































10.2.3 CIPE: Crypto IP Encapsulation 


CIPE 《加 密 IP 封 装 ) 是 主要 为 Linux 而 开发 的 VPN 实 现 。CIPE 使 用 加 密 的 IP 分 组 ， 这 些 分 组 
被 封装 或 “包围 ”在 数据 报 (UDP) 分 组 中 。CIPE 分 组 被 给 以 目标 头 信息 ， 并 使 用 默认 的 CIPE 
加 密 机 制 来 加 密 。CIPE 使 用 标准 的 Blowfish 或 IDEA 加 密 算 法 来 支持 加 密 。 根 据 你 所 在 国家 的 加 
密 出 口 法 规 而 定 ， 你 可 以 使 用 默认 方法 (Blowfish) 来 加 密 你 的 专用 网 上 的 所 有 CIPE 交 通 。CIPE 
配置 可 以 通过 文本 文件 、 几 形 化 的 网 络 管理 工具 来 完成 。 用 CIPE 技 术 实现 VPN 的 方法 ， 其 优点 是 
安装 配置 简单 ,运行 时 系统 开销 比较 小 ; 缺点 是 CIPE 不 是 一 种 标准 的 VPN 协 议 ， 不 能 支持 所 有 平 
台 。CIPE 的 网 址 为 : http://sites.inka.de/~。 


10.2.4 SSL VPN 


























IPSec VPNAISSLVPNZE PFA IRIBIVPNAZREJ, IPSec VPN 是 工作 在 网 络 层 的 ,提供 所 有 在 网 
络 层 上 的 数据 保护 和 透明 的 安全 通信 ， 而 SSL VPN 是 工作 在 应 用 层 (基于 HTTP 协 议 ) 和 TCP 层 
之 间 的 ， 从 整体 的 安全 等 级 来 看 ， 两 者 都 能 够 提供 安全 的 远程 接 入 。 但 是 ， 了 PSec VPN 技 术 是 被 
设计 用 于 连接 和 保护 在 信任 网 络 中 的 数据 流 ， 因 此 更 适合 为 不 同 的 网 络 提供 通信 安全 保障 ， 而 
SSL VPN 则 更 适合 应 用 于 远程 分 散 移动 用 户 的 安全 接 入 。 一 般 来 说 ，SSL VPN 相 对 于 IPSec VPN 
部 萤 和 实施 成 本 低 。 在 设计 上 ，IPSec VPN 是 一 种 基础 设施 性 质 的 安全 技术 。 这 类 VPN 的 真正 价 
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值 在 于 ， 它 们 尽量 提高 卫 环 境 的 安全 性 。 可 问题 在 于 ， 部 普 IPSec 需 要 对 基础 设施 进行 重大 改造 ， 
以 便 远 程 访问 。 好 处 就 摆 在 那里 ， 但 管理 成 本 很 高 。IPSec 安 全 协议 方案 需要 大 量 的 IT 技 术 文 持 ， 
包括 在 运行 和 长 期 维护 两 个 方面 。 在 大 的 企业 通常 有 儿 个 专门 的 员工 为 通过 IPSec 安 全 协议 进行 
的 VPN 远 程 访问 提供 服务 。IPSec VPN 最 大 的 难点 在 于 客户 端 需要 安装 复杂 的 软件 ， 而 且 当 用 户 
的 VPN 策 略 舟 微 有 所 改变 时 ，VPN 的 管理 难度 将 呈 几 何 级 数 增 长 。SSL VPN 则 正好 相反 ， 客 户 产 
不 需要 安 状 任何 软件 或 人 硬件， 使 用 标准 的 浏览 器 ， 束 可 通过 简单 的 SSL 安 全 加 密 协 议 ， 安 全 地 访 
问 网 络 中 的 信息 。SSL VPN 避 开 了 部 普及 管理 必要 客户 软件 的 复杂 性 和 人 力 需 求 ，SSL 在 Web 的 
易 用 性 和 安全 性 方面 架 起 了 一 座 桥 染 ， 目 前 对 SSL VPN 公 认 的 三 大 好 处 如 下 。 

ma 人 简单。 它 不 需要 配置 ， 可 以 立即 安装 、 立 即 生 效 。 

a — 2x) nre e RADI] ees HAHA cdi HH ANKRI SSL 协议 束 行 。 

a ”兼容 性 好 。 传 统 的 IPSec VPN 对 客户 咒 及 用 的 操作 系统 版 本 具有 很 蜗 的 要 求 ， 不 同 的 终 

疹 操 作 系 统 需要 不 同 的 客户 关 软 件 ， 而 SSL VPN 则 完全 没有 这 样 的 麻烦 。 

因此 ，SSL VPN 强 调 的 优势 其 实 主要 集中 在 VPN 客 户 端的 部 署 和 管理 上 , 我 们 知道 SSL VPN 
一 下 强调 无 须 安装 客户 闹 ， 主 要 是 由 于 浏览 占 内 骸 了 SSL 协 议 ， 也 束 是 说 是 基于 B/S 结构 的 业务 
时 ， 可 以 直接 使 用 浏览 费 完 成 SSL 的 VPN 建 立 。 

OpenVPN 证 一 个 基于 OpenSSL 库 的 应 用 层 VPN 实 现 。 话 细 人 信息 可 以 参考 
http://www.openvpn.net。 OpenVPN 的 优点 是 支持 多 种 常用 应 用 系统 ,目前 版 本 支持 Linux。Windows 
2000/XP and higher. OpenBSD. FreeBSD. NetBSD. Mac OS X, Solaris. SX EE S imet 
模式 。 可 以 通过 GUI 便捷 地 操纵 OpenVPN 工 作 在 OSI layer 2 2X, 3 使 用 标准 的 SSL/TLS 协 议 。 可 以 
通过 certificates 或 smart cards 认 证 。 加 和 密 强 度 较 高 ， 不 吻 在 传输 通路 上 被 人 支持 而 人 破解 信息 资源 。 
OpenVPN 的 缺点 是 使 用 SSL 应 用 层 加 密 ， 传 输 效 京 要 低 于 IPSec 传 输 的 VPN 软 件 。 


10.2.5 PPPTD 


点 对 点 隧道 协议 (PPTP) 是 一 种 文 持 多 协议 虚拟 专用 网 络 的 网 络 技术 。PPTP 可 以 用 于 在 卫 
网 络 上 建立 PPP 会 话 隧道 。 在 这 种 配置 下 ，PPTP 隧 道 和 PPP 会 话 运行 在 两 个 相同 的 机 器 上 ， 呼 叫 
方 充当 PNS。PPTP 使 用 客户 机 一 服务 占 结 构 来 分 离 当前 网 络 访问 服务 右上 其 备 的 一 些 功 能 并 文 持 虚 
拟 专 用 网 络 。 PPTP 作 为 一 个 呼叫 控制 和 管理 协议 , 它 允 许 服 务 器 控制 来 日 PSTN 或 ISDN 的 拨 入 电 
路 交换 呼叫 访问 并 初始 化 外 部 电路 交换 连接 。PPTP 只 能 通过 PAC 和 PNS 来 实施 ， 其 他 系统 没有 必 
要 知道 PPTP。 拨 号 网 络 可 与 PAC 相 连接 而 无 须知 道 PPTP。 标 准 的 PPP 客 户 机 软件 可 继续 在 隧道 
PPP 和 连接 上 操作 。PPTP 使 用 GRE 扩 展 版 本 来 传输 用 户 PPP 包 。 这 些 增强 允许 为 在 PAC 和 PNS 之 间 
传输 用 户 数据 的 隧道 提供 低层 拥塞 控制 和 流 控 制 。 这 种 机 制 允许 高 效 使 用 隧道 可 用 带宽 并 且 避 人 免 
了 不 必要 的 重用 和 缓冲 区 游 出 。PPTP 没 有 规定 特定 的 算法 用 于 低层 控制 ， 但 它 确 实 定 义 了 一 些 
通信 参数 来 文 持 这 样 的 算法 工作 .PPTP 相 对 其 他 远程 * 拨 入 "型 VPN 的 不 凡 之 处 在 于 微软 Windows 
(95/98/Me/NT/2000/XP/Vista) 拥有 一 个 内 置 的 PPTP 客 户 端 ， 这 意味 着 管理 员 不 必 涉 及 任何 额外 
的 客户 端 软件 以 及 那些 通常 伴随 出 现 的 问题 。Linux PPTP 服 务 器 实现 的 软件 是 : Poptop 
Chttp://www.poptop.org/) ， 开 源 PPTP 服 务 需 产品 Poptop 特 性 为 : 
a ”微软 兼容 的 认证 和 加 密 OMSCHAPv2, MPPE40—128 位 RC4 加 密 ) 。 
a LELANA Um 
a EH RADIUS FAERIE ^ pd X P9 AER 
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= 4i Windows 95/98/Me/NT/2000/XP PPTP 客户 端 共 同 工 作 。 


= ”和 Linux PPTP 客户 端 共 同 工 作 。 
=  Poptop 在 GNU 通用 公共 许可 下 是 ， 并 仍 将 是 完全 免 珊 。 


ETSI 使 用 OpenVPN 构建 SSL VPN 

















10.3.1 OpenVPN 简介 











OpenVPN 是 一 个 强大 、 高 度 可 配置 、 基 于 SSL 的 VPN (Virtual Private Network) Open Source 
软件 。 它 具有 多 种 验证 方式 以 及 许多 强大 的 功能 。OpenVPN 工 作 在 OSI 模型 的 第 2 层 或 第 3 层 ， 
使 用 SSLATLS 协 议 进 行 网 络 传输 。 文 持 多 种 客户 认证 方法 ， 如 证 书 、smart cards. WEHA Z 
码 的 证 书 认 证 等 。 除 此 以 外 ， 还 有 强大 的 ACL 功 能 限制 客户 的 信息 交换 。 

OpenVPN 可 以 运行 在 多 种 操作 系统 中 , 包括 :Linux、Windows 2000/XP and higher. OpenBSD, 
FreeBSD, NetBSD, Mac OS X、Solaris。 通 过 使 用 OpenVPN， 可 以 实现 ; 

a 使 用 特定 UDN 或 TCP im O SKH S ENILLAIS VPN 连接 。 

a ”实现 C/S 结构 ， 实 现 多 台 Client 通过 Server HRS 28 HJE HB . 

a W TLS/SSL 加 密 你 证 数据 传输 的 安全 。 

a 通过 数据 的 压 绑 ， 提 高 数据 传输 的 速度 。 

10.3.2 Z OpenVPN 

企业 级 Linux 版 本 的 安装 光盘 中 目 带 了 OpenVPN 的 安装 程序 ， 在 系统 安装 的 时 候 ， 用 户 可 以 
选择 进行 安装 。 如 果 系 统 安 钱 时 没有 安 厂 ,用户 也 可 以 随时 使 用 安装 盘 进 行 安 钱 。 为 了 确认 系统 
是 否 已 经 安装 该 软件 ， 可 以 使 用 如 下 命令 进行 公 看 : 


tepu ga | grep openvpn 


10.3.3 ”制作 证 书 




















1. 制作 证 书 前 的 准备 


复制 OpenVPN 证 书 工具 包 ， 在 安装 完 OpenVPN 后 ， 系 统 会 在 /etc 下 建 一 个 OpenVPN 的 目录 ， 
这 样 我 们 可 以 把 OpenVPN 证 书 工 具 包 拷贝 到 /etc/openvpn 目 录 下 ， 和 需要 注意 以 下 几 个 主要 的 存放 
LE. 

a 证书 工 具 包 默 认 位 置 : /usr/share/openvpn/easy-rsa。 

a ”准备 配置 证 书 位 置 : /etc/openvpn/。 

mn ”证 书生 成 位 置 /etc/openvpn/easy-rsa/2.0/keys。 

使 用 命令 如 下 : 


# cp -r /usr/share/openvpn/easy-rsa /etc/openvpn/ 














# mkdir /etc/openvpn/easy-rsa/2.0/keys 
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2. 修改 vars 变量 初始 化 配置 文件 


# Increase this to 2048 if you 
# are paranoid. This will slow 


一 # down TLS negotiation performance 
编辑 casy-rsa/2.0/vars 文 什 ， 和 需要 进行 以 下 i 


JV ERE. export KEY _ SIZE=1024 


# In how many days should the root CA key expire? 
export CA EXPIRE-3650 


= 注释 掉 export CA EXPIRE-3650, 在 , u 
前 面 加 个 “#” 号 即 可 S uu M 


E 注释 拯 export KEY EXPIRE-3650, i éd pde sut Lap MK 
在 前 面 加 个 “#” 号 即 可 。 

a 修改 证 书 默 认 值 ， 如 图 10-7 FAE 
区 域 所 示 。 图 10-7 ”修改 vars 文 件 中 的 相应 区 域 





3. 初始 化 证 书库 

初始 化 证 书库 主要 包括 初始 化 变量 库 和 请 空 变量 库 两 个 步 又， 如 下 命令 所 示 : 
// 初 始 化 变量 库 
d I TESCO: 

青空 证 书库 
t/t ee al 





4. 证 书 验证 机 制 
执行 命 ^, 如 图 10- 8 所 示 。 在 执行 [root@localhost 2.0]# ./build-ca 


Generating a 1024 bit RSA private key 


过 程 中 ， 输入 对 应 的 信息 JUN ? 完成 后 在 keys E — 


writing new private key to 'ca.key' 


目录 下 会 生成 ca.crt 和 ca.key 两 | X fF. You are about to be asked to enter information that will be incorporated 


into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [CN]: 

State or Province Name (full name) [BJ]: 

Locality Name (eg, city) [Beijing]: 

Organization Name (eg, company) [tsinghua publishing house]: 

Organizational Unit Name (eg, section) []:vpn 

Common Name (eg, your name or your server's hostname) [tsinghua publishing ho 
se CA]:vpn server 


5， 生 成 服务 器 证 书 图 10-8 完成 证 书 验证 机 制 


十 十 十 十 十 十 


执行 . /build- key- server REUS 9 DEP Mit private key to 'server.key' 


A BM D 人 You are about to be asked to enter information that will be incorporated 
4T ZU m E keys H 3] e | 9 par into your certificate request. 





What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 


server.crt server.csr 和 和 server.key — 1 If you enter '.', the field will be left blank. 


- TF C try N (2 letter code) [CN]: 
件 ， 如 图 10 9 所 示 。 oun ry Name | etter code x 


State or Province Name (full name) 

Locality Name (eg, city) [Beijing]: 

Organization Name (eg, company) [tsinghua publishing house]: 
Organizational Unit Name (eg, section) []:vpn 

Common Name (eg, your name or your server's hostname) [server]:vpn_server 
Email Address [publishing_house@tsinghua. com] : 


Please enter the following 'extra' attributes 

to be sent with your certificate request 

A challenge password []:duanjia 

An optional company name []: 

Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf 
Check that the request matches the signature 

Signature ok 

The Subject's Distinguished Name is as follows 


图 10-9 生成 服务 器 证 书 
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6. 生成 客户 端 证 书 

在 OpenVPN 中 ， 这 种 配置 方法 是 每 
一 个 登录 的 VPN 客 户 端 需要 有 一 个 证 
书 ， 每 个 证 书 在 同一 时 刻 只 能 供 一 个 客 
己 闹 连接 (如 果 有 两 个 机 器 安装 相同 证 
书 ， 同 时 拨 服 务 器 ， 都 能 拨 上 ， 但 是 只 
有 第 一 个 拨 上 的 才能 连通 网 络 ) 。 所 以 
需要 建立 许多 份 证 书 。 执 行 ./build-key 
vpn client! 命令 ， 执 行 完 成 后 在 kevys 目 
X Bo X Æ WK vpn clientl.crt 、 
vpn clientl.csr 和 vpn clientl.key — ^ X: 
fr, ünfd 10-10 所 示 。 

—^n Hi o5 ny n]. AE eT Jg 
证 书 ， 但 是 每 个 客户 新 都 不 能 一 样 ， 主 
要 体现 在 Common Name 这 里 , 每 一 个 客 
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[root&localhost 2.0]# ./build-key vpn clientl 
Generating a 1024 bit RSA private key 
十 十 十 十 十 十 


You are about to be asked to enter information that will be incorporated 


into your certificate request. 

what you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [CN]: 

State or Province Name (full name) [BJ]: 

Locality Name (eg, city) [Beijing]: 

Organization Name (eg, company) [tsinghua publishing house]: 
Organizational Unit Name (eg, section) []:vpn 

Common Name (eg, your name or your server's hostname) [vpn_client1]: 
Email Address [publishing_house@tsinghua. com]: 


Please enter the following 'extra' attributes 

to be sent with your certificate request 

A challenge password []:vpn clientl 

An optional company name [] 

Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf 


图 10-10 为 客户 端 vpn_client1 生 成 客户 端 证 书 





户 疹 的 Common Name 痢 必须 不 一 样 ， 用 户 可 以 再 继续 建 出 多 个 客户 闹 证 书 ， 如 下 所 示 : 


#./build-key vpn client2 
t./build-key vpn client3 


7. 编译 证 书 


采用 ./build-dh 命 令 将 刚刚 生成 的 证 
书 和 密 钥 每 进行 一 次 加 密 算 法 , 然后 证 书 


和 密 钥 都 准备 好 了 ， 此 时 在 keys 目 录 下 ， 


会 生成 dh1024.pem 文 件 , 如 图 10-11 所 示 。 


10.3.4 配置 服务 端 


[rootaülocalhost 2.0]# ./build-dh 
Generating DH parameters, 1024 bit long safe prime, generator 2 
This is going to take a long time 


pe 


第 10 





编 详 证 书 


图 10-11 





如 采 上 一 小 三 中 所 述 的 七 步 虱 运行 正常 的 情况 下 , 用户 丈 可 以 开始 配置 服务 闹 了 ; BUR Hp RI 
过 程 出 现 问 题 ， 建 议 清 空 证 书库 ， 重 独 操 作 ， 执 行 .clean-all 来 清空 库 即 可 。 


配置 服务 站 需要 执行 以 下 儿 个 步 又 。 





(1) 把 几 个 证 书 、 钥 是 和 验证 机 制 都 捞 贝 到 /etclopenvpn 目 隶 下， 命令 如 下 : 


CO 


AXES 


E 


cp /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem /etc/openvpn/ 


CpE tete openwpmn/essy msc AkeveasenvyenpeorbrteAets/ pen 


cC Se SE GF 


cp /etc/openvpn/easy-rsa/2.0/keys/server.key /etc/openvpn/ 


(2) dE AS 2S HJBO AF I $l/etc/openvpn H% F: 


t cp /usr/share/doc/openvpn-2.1/sample-config-files/server.conf /etc/openvpn/ 


(3) 编辑 /etc/openvpn/server.conf 配 置 文 件 ， 去 挥 下 述 选 项 前 面 的 分 号 “;”， 以 使 其 生效 : 
puser nobody 


group apre loxo(o 
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(4) 启动 OpenVPN, 查看 一 下 端口 1194 是 否 已 开放 , WR 1194 已 开放 , 那 整 表 明 OpenVPN 





服务 闹 已 经 配置 成 功 了 : 


#/etc/init.d/openvpn start 





(50 设置 开机 目 司 动 OpenVPN， 使 用 如 下 命令 ， 找 到 OpenVPN 服 务 ，“〈 见 网 10-12) ， 并 





选中 服务 确认 即 可 ， 下 次 系统 局 动 的 时 候 会 目 动 加 载 OpenVPN 服 务 : 


intsysv 





(60 KHADKE, TERPVPNIDUIEBEUCIETSIBEII. ERREP, HADMA, JT 





OpenVPN 和 SSH〈 前 面 打 义 即 可 〉， 如 图 10-13 所 示 。 


xf (EF) xem (O) 帮助 (H) 
Z E d & 
向 导 应 用 ”重新 载 入 禁用 


可 和信 的 服务 在 这 里 您 可 以 定义 哪些 服务 是 可 信 的 ， 可 信 的 服务 可 以 被 任意 主机 或 者 网 络 访问 。 


ntpd 其 它 端口 服务 
ntpdate 可 信 接 口 
T t (Masquerading ) 
cd li 端口 转发 
Dortreserve ICMP 313888 


DNS 

FTP 

IPsec 

NFS4 

OpenVPN 

RADIUS 

Samba 

Samba € P3 
4l: SSH 

WWW (HTTP) 


ostgresql B 定制 规则 


Å 公允 许 必要 的 服务 访问 。 





启用 防火 墙 。 (DAE) 


图 10-12 ”设置 OpenVPN 开 机 启动 图 10-13 


10.3.5 ”配置 客户 端 





v 端口 /协议 


53/tcp, 53/udp 

21/tcp 

/ah, /esp 

2049/tcp, 2049/udp 

1194/udp 

1812/udp, 1813/udp 

137/udp, 138/udp, 139/tcp, 445/tcp 
137/udp, 138/udp 

22/tcp 

80/tcp 


设置 防火 墙 


配置 客户 疹 vpn_clientl 需要 使 用 源 代 码 包 目录 Sample-config-files 里 的 client.conf 修改 即 可 ， 


al ^ FEIN: 


client 

dev tun 

GEOEO CE9 

remote IP address Port 

resolv-retry infinite 

nobind 

user nobody 

group nobody 

persisti key 

persico tun 

ca Ca. Crt 

Dee 

eu ee 

#comp-lzo 
其 中 ， 主 要 考虑 以 下 几 个 参数 的 设 定 。 
= proto tcp EV proto udp: 和 server.conf 一 致 即 可 。 
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= remote IP address port: 指定 VPN Server 的 IP 地 址 和 端口 。 
= cert vpn clientl.crt 和 key vpn clientl.key: 这 两 行 添 入 vpn clientl 生成 的 密 钥 文件 。 
通过 以 上 配置 后 ， 就 可 以 使 用 OpenVPN 进 行 安全 通信 了 。 

10.3.6 一 个 具体 的 配置 实例 


假设 要 搭建 一 个 VPN 服 务 ，VPN 服 务 端 有 两 个 IP 地 址 ， 其 中 eth0 (172.16.6.79). 提供 VPN 服 
务 ， 由 外 部 172.31.16.0/24 通过 1194 mp L1 3E AN, A MiMi eth] (192.1610.253.79) 访问 
192.1610.253.0/24 去 维护 服务 器 。 

具体 的 配置 如 下 : 


1. 服务 器 端 配置 
VPN Server 的 目录 /etc/openvpn 下 有 文件 ca.crt、 ca.key. dh1024.pem, server.crt, server.key. 
server.conf 以 及 子 目 录 ccd。/etc/openvpn/ccd 目 录 下 有 文件 clientl，client2 和 client3。 
(1) /etc/openvpn/server.conf 内 容 如 下 : 


NN OC eh | ee 





POr Tos 
[one Gar CEP 
dev tun 
Ca Ca Crt 
Cert Server. Crt 
key server.key 4 This file should be kept secret 
dh dh1024.pem 
Serene LONO IO a RE 
Die OI OO pero st o bob 
keepalive 10 120 
COM ze 
user nobody 
group nobody 
persist-key 
Be le En 
status openvpn-status.log 
verb 3 
cent Con rO Lr c 
# 使 vpn clients 能 访问 VPN Server 内 部 网 段 计 算 机 
pu sorores M DM 
Douche uS cS tme 
(2) /etc/openvpn/ccd/clientl 内 容 如 下 : 
I I a one EIOS BORSE esd Oa 
OU celle En ee ll) 
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2. 客 尸 机 端 配置 


vpn clientl 的 目录 /etc/openvpn 下 有 文件 ca.crt、ca.key clientl.crt, clientl.key. clientl.conf. 
/etc/openvpn/clientl.conf 内 容 如 下 : 

Client 

dev tun 

proto udp 

TO Ol OA 

pesodwv-retry iS 

nobund 

user nobody 

group nobody 

persist key 

persier COnN 

Ca Ca. Crt 

per posae nisle v 

key clientl.key 

OM T20 

verb 3 


keepalive 10 120 


ETZE 使 用 IPSec VPN 


10.4.1 安装 ipsec-tools 


实现 IPSec 要 求 主机 上 安 朔 ipsec-tools RPM 软件 包 ,， Red Hat Enterprise Linux 5 一 般 默 认 安 装 。 
执行 下 述 命 令 可 以 看 到 它 的 版 本 号 为 ipsec-tools-0.6.5-13.el5_3.1: 
# rpm -qa | grep ipsec 





Eo sue scires or dh 
10.4.2 ”配置 IPSec VPN 


下 面 以 一 个 实际 的 例子 来 讲述 如 何 配置 PSec VPN。 假 设 网 络 A 和 网 络 B 想 通过 IPSec 隧道 来 彼 
此 连接 。 网 络 A 的 网 络 地 址 在 172.1610.1.0/24 范围 内 ， 网 络 B 使 用 172.1610.2.0/24 范围 。 网 络 A 的 
网 关 IP 地 址 是 172.1610.1.1， 网 络 B 的 网 关 地 址 是 172.1610.2.1. 每 个 网 络 间 的 IPSec 连 接 使 用 一 个 值 
为 Sharekey 的 预 共 享 密 钥 , 网 络 A 和 网 络 B 都 同 症 让 racoon 目 动 生 成 和 共 娃 每 个 IPSec 足 由 占 之 间 的 验 
证 密 钥 。 网 络 A 把 IPSec 连接 命名 为 ipsec0， 而 网 络 B 把 IPSec 连接 命名 为 ipsec1。 
上 述 配置 可 以 在 Red Hat Enterprise Linux 5 系统 中 使 用 图 形 用 户 界面 进行 方便 地 配置 ， 如 图 
10-14 一 图 10-22 所 示 ， 主 要 步 又 如 下 。 
(1) 进入 IPSec VPN 主 界面 具体 方法 选择 “系统 ”一 “管理 ”一 “网 络 ” 命 令 ， 则 弹出 如 











A 10 X 


EE HR 
通道 保障 : 企业 移动 通信 数据 防护 加 时 时 于 


图 10-14 所 示 的 对 话 框 。 
@ Applications Places [Ede - 4:14PM Q) 
d a Authentication 


» && Date & Time 


za Display 


22 C Keyboard 
"o Language 
&] Log Out root... == Logical Volume Management 


(9) Shut Down RQ Login Screen [s Network Configuration 
File Profile Help 


a 
igure network devices and connections - [9 P 5 9 = 4 X 


Ga About GNOME 


New Edit Delete = Activate Deactivate 





( Root Passwor d 
: Devi |H dw. IP: DNS m ts 
£ Securi ty Level and Firewall PICS MA EM "sec [ns Be | 


Ezi SELinux Management You may configure IPsec tunnels and host to 
host connections here. 
io z 








à Server Settings 
[EA Smart Card Manager 





Profil. Type Destination Nickname 





Qj) Soundcard Detection 
«& System Log 

(E System Monitor 

(a) Users and Groups 














人 


Active profile: Common 











[@) [E [root@localhost:~] | 8I Network Configuration | ETAN 


10-14 进入 IPSecVPN 配 置 主 界面 

(2) 选择 新 建 一 个 IPSec， 并 输入 该 隧道 的 摘 述 名 为 securecomm， 如 图 10-15 所 示 。 

(3) 选择 IPSec VPN 的 连接 半 型 ， 主 机 对 主机 加 密 或 者 是 网 络 对 网 络 的 加 黎 。 后 一 种 应 用 
ix^) iz, iu 10-16 所 示 。 此 处 选择 后 一 种 方式 。 

(4) 选择 IPSec VPN 的 加 密 模 式 ， 即 使 用 何 种 繁 铀 ， 此 处 选择 常用 的 下 A 模 式 ， 如 图 10-17 
由 

(5) 设 定 IPSec VPN 本 地 网 络 端的 相关 配置 ， 如 图 10-18 所 示 。 

(60 设 定 IPSec VPN 远 程 网 络 痕 的 相关 配置 ， 如 图 10-19 所 示 。 

(7) 设 定 IPSec 共 享 key 的 名 称 ， 如 图 10-20 所 示 。 

(8) 完成 上 述 步 又 后 ，IPSec VPN 已 经 设置 完成 ， 将 显示 设置 的 其 体 信息 ， 以 供用 户 核 对 ， 
如 图 10-21 所 示 。 

(9) IPSec VPN 成 功 设置 完 成 ， 如 图 10-22 rz. 














IPsec Settings IPsec Settings 


IPsec - Nickname M IPsec - Connection Type 


Please enter a nickname for the connection: Please select the type of connection: 


Nickname: CA 


口 Activate connection when computer starts © Network to Network encryption (VPN) 








| Xcancel | | € Back | [L Eorwara | | X Cancel 4 Back | 


图 10-15 ”输入 IPSec VPN 描 述 名 称 图 10-16 选择 连接 类 型 
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IPsec Settings 


IPsec - Encryption Mode 


Please select the type of encryption: 


O Manual encryption with a fixed key 


®© Automatic encryption mode selection via IKA (racoon) 


CE 
图 10-17 ”选择 采用 本 A 的 自动 加 密 模 式 


IPsec Settings 


IPsec - Remote Network 


Please enter your remote network settings: 


Remote IP address: 
Remote network address: 


Remote subnet mask: 


Remote network gateway: 





K]10-19 ” 设 定 远程 网 络 配置 


IPsec Settings 


IPsec - Summary 


You have selected the following information: 


IPsec.RemoteNetwork-172.168.2.0 
IPsec IPsecid-securecomm 
IPsec.EncryptionMode-auto 
IPsec.LocalNetwork-172.168.1.0 
IPsec.ConnectionType-Net2Net 
IPsec.OnBoot-false 
IPsec.IKEKey-—sharekey 
IPsec.LocalGateway-172.168.1.10 
IPsec.LocalNetmask-255.255.255.0 
IPsec.RemotelPAddress-172.168.2.1 
IPsec.RemoteNetmask-255.255.255.0 
IPsec.RemoteGateway-172.168.2.10 


dam 


图 10-21 设置 完成 ， 显 示 设 置信 息 








m IPsec Settings = IE |X 





Kl10-18 ” 设 定 本 地 网 络 配置 


IPsec Settings 


IPsec - Keys 


Please specify your keys or generate them. 
The keys are symmetric, so your remote partner need to have the same. 


图 10-20” 设 定 IPSec 共 享 key 的 名 称 


Network Configuration 















File Profile Help 


9 4^4 BD 9 


New Edit Copy Delete 


2 % 


Activate Deactivate 


HN 
LL 


You may configure IPsec tunnels and host to 
host connections here. 


Destination Nickname 


Net2Net 172.168.2.1 securecomm 





Active profile: Common (modified) 


图 10-22 设置 好 的 IPSec VPN 
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以 下 是 网 络 A 的 IPSec 连接 的 这 fg 文件 。 在 这 个 例子 中 用 来 识别 该 连接 的 独特 名 称 是 ipsec0， 
此 其 结果 文件 被 命名 为 /etc/sysconfig/network-scripts/ifcfg-ipsec0。 

TYPE-IPSEC 

ONBOOT-false 4 引导 时 不 激活 

IKE METHOD-PSK 4 使 用 预 共 享 密 铀 

SRCGW-172.1610.1.10 4 JE 

DSTGW-172.1610.2.10 4 目标 网 关 

SRCNET-172.1610.1.0/24 # 源 网 段 

DSTNET-172.1610.2.0/24 4 目标 网 段 

DST=192.1610.1.20 # 网 络 BVPN Server 的 外 网 IP 

以 下 是 预 共 享 密 钥 文件 (叫做 /etc/sysconfig/network-scripts/keys-ipsecX， 这 里 的 X 对 网 络 A 
来 说 是 0， 对 网 络 B 来 说 是 1) ， 两 个 工作 站 都 使 用 它 来 彼此 验证 。 该 文件 的 内 容 应 该 完全 一 致 ， 
并 且 只 有 有 root 用户 才 应 该 有 读 写 权 。 

IKE PSK-yoyotown.com 

改变 keys-ipsec0 文件 的 权限 ， 只 有 root 用 户 才 有 读 写 权 。 

$chmod 600 /etc/sysconfig/network-scripts/keys-ipsecO 

要 在 任何 时 候 改变 验证 密 钥 ， 编 辑 两 个 IPSec 路 由 右上 的 keys-ipsecX 文 件 。 这 两 个 密 钥 必须 
完全 一 致 才 能 保证 正确 的 连接 性 。 

以 下 是 IPSec 连接 的 /etc/racoon/racoon.conf 配 置 文件 。 


ie 




















SR soon Cone Or a de CE le ormat and Ene ES. 


Qich ino lude Tero dope 
e ea em ee on 


eee cc cpu TN 


sainfo anonymous 

Í 

BE SITOUR a 

lifetime time 1 hour ; 

emen OM Oe de Ov Er rvelcre 
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以 下 是 连接 到 远程 网 络 时 生成 的 配置 文件 。 访 文件 的 名 称 为 X.X.X.X.conf. 注意 ,一旦 IPSec 
隧道 被 激活 ， 该 文件 会 被 目 动 生成 。 
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| 
在 完成 上 述 操作 后 ， 在 局 动 IPSec 连 接 前 ， 内 核 中 应 该 局 用 IP 转 及 。 在 shell 提 示 符 下 作为 root 

HPR AHP o 
(15 编辑 /etc/sysctl.conf， 将 net.ipv4.ip forwardix B y 1. 
(20 执行 以 下 命令 来 局 用 改变 : 
Hoveactl p /etc/sysctl.conf 
(3) 以 root 用 户 吴 份 局 动 IPSec 连 接 : 


"SLEvVICe network restart 


这 样 ，IPSec 连 接 束 被 激活 了， 网 络 A 和 网 络 B 能 够 安全 地 进行 通信 J o 
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企业 Linux 服务 器 远程 安 


本 章 导读 


随 着 500 强 企 业 的 发 展 ， 越 来 越 多 的 业 
务 、 信 息 系 统 将 通过 IT 技术 来 进行 实现 ， 大 
量 的 服务 也 随 之 而 产生 ， 结 果 是 需要 采购 大 
量 的 服务 器 并 对 之 进行 管理 。 一 般 情况 下 ， 
这 些 大 量 的 服务 器 都 是 放 在 机 房 进 行 管理 和 
维护 。 这 就 产生 了 一 个 问题 ， 如 何 对 这 些 服 
务 器 进行 管理 呢 ? 传统 的 做 法 可 能 是 系统 管 
理 员 直接 进入 机 房 进行 管理 和 调试 ， 然 而 这 
种 过 于 “亲密 ”的 接触 方式 是 非常 不 安全 的 ， 
人 员 在 机 房产 生 的 静电 、 污 染 等 都 会 影响 到 
服务 器 。 并 有 目 ， 如 果 机 房 离 管理 员工 位 比较 
远 的 话 ， 也 会 给 运 维 带 来 非常 大 的 不 必要 的 
人 力 开 销 , 毕竟 跑 来 跑 去 也 是 不 小 的 工作 量 。 

因此 ， 非 常 合适 的 一 种 办 法 就 是 通过 远 
程控 制 和 管理 的 方法 来 对 企业 Linux 服务 器 
及 其 上 面 的 服务 进行 管理 ， 这 样 ， 管 理 员 就 
能 在 工 位 轻松 、 高 效 、 安 全 地 进行 调试 、 升 
级 、 管 理 等 工作 了 。 本 章 将 详细 介绍 500 强 
企业 如 何 应 用 相关 的 工具 来 进行 企业 Linux 
服务 器 远程 安全 管理 。 


防线 


E dnd Linux 安全 运 维 理念 和 实战 


346 


EIE 远程 控制 及 管理 的 基本 原理 


谈 到 远程 监控 与 管理 , 我 们 需要 了 解 与 之 紧密 相关 的 远程 控制 技术 。 远程 控制 技术 始 于 DOS 
时 代 ， 只 不 过 当时 由 于 技术 上 没有 什么 大 的 变化 ， 网 络 不 发 达 ， 市 场 没有 更 高 的 要 求 ， 所 以 远程 
控制 技术 没有 引起 更 多 人 的 注意 。 但 是 ， 随 着 网 络 的 高 速 发 展 ， 电 脑 的 管理 及 技术 支持 的 需要 ， 
远程 操作 及 控制 技术 越 来 越 引 起 人 们 的 关注 。 远 程控 制 一 般 支 持 下 面 的 这 些 网 络 方式 : LAN. 
WAN、 拨 号 方式 、 互 联网 方式 。 此 外 ， 有 的 远程 控制 软件 还 支持 通过 串口 、 并 口 、 红 外 端口 来 
对 远程 机 进行 控制 (不 过 ， 这 里 说 的 远程 电脑 ， 只 能 是 有 限 距 离 范 围 内 的 电脑 了 〉。 传统 的 远程 
控制 软件 一 般 使 用 NetBEUI、NetBIOS、IPX/SPX、TCP/IP 等 协议 来 实现 远程 控制 ， 不 过 ， 随 着 
网 络 技术 的 发 展 ， 目 前 很 多 远程 控制 软件 提供 通过 Web 页 面 以 Java 技术 来 控制 远程 电脑 ， 这 样 
可 以 实现 不 同 操作 系统 下 的 远程 控制 ， 从 而 完成 我 们 所 要 介绍 的 远程 监控 与 管理 工作 。 


11.1.1 远程 监控 与 管理 原理 


远程 监控 与 管理 依赖 于 远程 控制 技术 ， 而 该 软件 一 般 分 为 两 个 部 分 一 部 分 是 客户 端 程序 
Client， 另 一 部 分 是 服务 器 问 程 序 Server， 在 使 用 前 需要 将 客户 端 程序 安 朔 到 主 控 喘 电脑 上 ， 将 
服务 右 闪 程序 安 朔 到 被 控 冰 电脑 上 。 其 控制 的 过 程 一 般 是 移 在 主 控 冰 电脑 上 执行 客户 站 程序 ， 像 
一 个 普通 的 客户 一 样 问 被 控 端 电脑 中 的 服务 器 闯 程 序 发 出 信号 ， 建 立 一 个 特殊 的 远程 服务 ， 然 后 
通过 这 个 远程 服务 , 使 用 各 种 远程 控制 功能 发 送 远 程控 制 命令 , 控制 被 探 端 电脑 中 各 种 应 用 程序 
的 运行 ,我们 称 这 种 远程 控制 方式 为 基于 远程 服务 的 远程 控制 。 通过 远程 控制 软件 ， 我 们 可 以 进 
行 很 多 方面 的 远程 控制 , 包括 获取 目标 电脑 屏 侨 图 像 、 窗 口 及 进程 列表 ; Uo TE IDE n Be i 
fr ( 击 键 序列 ， 即 监视 远 听 键 盘 输 入 的 内 容 ) ; 可 以 打开 、 关 团 目标 电脑 的 任意 目录 并 实现 资源 
Jig. 提取 拨号 网 络 及 普通 程序 的 密码 ;， 激活、 中 止 远 端 程 序 进 程 ， 管理 远 端 电脑 的 文件 和 文件 
来， 关闭 或 者 重 狐 局 动 远 咽 电 脑 中 的 操作 系统 ;修改 Windows 注册 表 ; 通过 远 端 电脑 上 、 下 载 
文件 和 捕获 首 频 、 视 频 信号 等 。 前 面 我 们 所 说 的 是 一 台电 脑 对 一 台电 脑 的 情况 ， 其 实 ， 基 于 远程 
服务 的 远程 控制 最 适合 的 模式 是 一 对 多 ， 即 利用 远程 控制 软件 ,我们 可 以 使 用 一 台电 脑 控 制 多 台 
电脑 ， 这 残 使 得 我 们 不 必 为 办 公 室 的 每 一 台电 脑 部 安 站 一 个 调制 解 调 费 ,而 只 需要 利用 办 公 室 局 
域 网 的 优势 融 可 以 轻松 实现 远程 多 点 控制 了 。 在 进行 一 合 电脑 对 多 人 台 远 站 电脑 进行 控制 时 ， 远 程 
控制 软件 类 似 一 个 局 域 网 的 网 络 定理 员 , 而 提供 远程 控制 的 远程 终 闹 服务 束 像 办 公 室 局 域 网 的 延 
伸 。 这 种 一 对 多 的 连接 方式 在 市 省 了 调制 解 调 旧 的 同时 ， 还 使 得 网 络 的 接 入 更 加 安全 可 徘 ， 网络 
管理 员 也 更 易于 党 理 局 域 网 上 的 每 一 合 电脑 。 


11.1.2 ”远程 监控 与 管理 的 主要 应 用 范围 

在 通常 情况 下 ， 远 程 监控 与 管理 技术 主要 应 用 于 以 下 两 个 方面 。 

1. 远程 技术 支持 

通常 ， 远 距离 的 技术 支持 必须 依赖 技术 人 员 和 用 户 之 间 的 电话 交流 来 进行 ,这 种 交流 既 耗 时 
又 容易 出 错 。 许 多 用 户 对 电脑 知道 得 很 少 ， 然 而 当 遇 到 问题 时 ， 他 们 必须 向 无 法 看 到 电脑 屏幕 的 


技术 人 员 描 述 问 题 的 证 状 ， 并 且 严 格 遭 守 技 术 人 员 的 指示 精确 地 描述 屏 闽 上 的 内 容 ， 但 是 由 于 他 
们 的 电脑 专业 知识 非常 少 ， 描 述 往往 不 得 要 领 ， 说 不 到 点 子 上 ， 这 残 给 拉 术 人 员 判 断 故 障 制 造 了 
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非常 大 的 障碍 。 即 使 技术 人 员 明 白 了 用 户 电 脑 的 问题 所 在 ， 在 尝试 解决 问题 时 ， 技术 人 员 可 能 会 
指导 用 户 执 行 一 系列 复杂 的 命令 ,而 这 个 过 程 对 用 户 来 说 是 十 分 困难 的 ， 因 为 技术 人 员 要 依 徘 日 
己 的 语言 来 “操纵 ”用 户 的 鼠标 和 键盘 简直 是 太 难 了 ， 如 果 用 户 不 能 正确 地 遵照 指示 去 做 ， 问 题 
可 能 会 进一步 恶化 ， 电 脑 很 可 能 会 因为 错误 的 操作 导致 系统 的 月 涡 。 这 样 一 来 ,往往 是 技术 人 员 
要 为 十 分 简单 的 一 个 问题 和 用 户 说 上 十 几 分 钟 ， 甚 至 会 专程 跑 到 很 远 的 用 户 那里 帮助 解决 问题 ， 
而 用 户 往往 因为 问题 还 没有 解决 ， 只 好 将 电脑 闲置 不 用 ， 只 等 技术 人 员 上 上 门 来 解决 问题 。 有 了 远 
程控 制 技术 ， 技 术 人 员 束 可 以 远程 控制 用 户 的 电脑 ， 瓯 像 和 直接 操作 本 地 电脑 一 样 ， 只 需要 用 户 的 
简单 帮助 区 可 以 得 到 该 机 喜 存 在 的 问题 的 第 一 手 材 料 , 很 快 整 可 以 找到 问题 的 所 在 , 并 加 以 解决 。 
2. 远程 维护 、 监 控 和 管理 


网 络 官 理 员 或 者 普通 用 户 可 以 通过 远程 控制 扩 术 为 远 中 的 电脑 安 妆 和 配置 软件 、 下 载 并 安 猴 
软件 修补 程序 、 配 置 应 用 程序 和 进行 系统 软件 设置 。 在 节假日 或 者 是 由 于 管理 员 在 外 地 而 通过 远 
程 方式 对 企业 网 络 及 其 服务 玲 进 行 维护 和 管理 是 属于 该 范畴 的 一 个 典型 应 用 , 下 面 所 要 讲述 的 也 
主要 针对 这 种 情况 。 


11.1.3 ”远程 监控 及 管理 的 基本 内 容 


还 程 监控 及 党 理 都 包括 哪些 项 目 呢 ? 通俗 地 讲 基 本 上 任何 网 络 设备 都 可 以 通过 远程 管理 的 
方式 来 设置 。 中 小 企业 比较 常见 的 远程 管理 项 目 主要 有 服务 占 、NAS 存储 设备 、 路 由 需 、 区 换 
机 、 防 火场 、 入 侵 检 测 系统 等 。 

a WAWER: 服务 右 是 企业 网 络 设备 的 主体 ， 不 管 企业 规模 是 大 是 小 ， 都 会 拥有 目 己 

的 服务 左 。 而 服务 器 的 正 第 运行 也 是 全 天 重要 的 ， 企 业 业 务 的 正和 营 开 展 全 徘 它 了 。 

a 远程 管理 员工 机 及 共 孚 设备 : 实际 上 有 的 时 候 员 工 计算 机 也 近 供 痢 东 种 服务 ， 例 如 便 
盘 上 存储 着 某 些 重要 数据 ， 而 市 日 期 间 急 然 要 使 用 这 些 数据 的 话 ， 如 何 才 能 从 员工 机 
中 获取 这 些 必要 信息 呢 ? 除 了 连接 到 企业 内 部 网 络 外 ， 还 需要 学 会 远程 管理 员工 计算 
机 和 一 些 办 公共 至 设备 。 

n 远程 管理 路 由 硕 、 交 换 机 设备 : 路 由 磊 和 交换 机 设备 可 以 说 是 企业 的 核心 网 络 设备 了 ， 
它们 负责 互 连 工 作 。 不 过 在 实际 使 用 过 程 中 这 些 设备 的 设置 会 出 现 这 样 或 那样 的 改动 ， 
根据 时 间 和 应 用 情况 做 适当 修改 。 在 市 日 期 间 如 果 和 需要 对 这 些 设 备 进行 参数 修改 的 话 ， 
我 们 束 应 该 学 会 远程 管理 路 由 器 、 交 换 机 设备 。 一 般 来 说 ,我们 在 家 中 使 用 telnet 命令 
束 可 以 连接 到 路 由 交换 设备 上 ， 不 过 这 是 建立 在 我 们 已 经 爸 普 好 远程 访问 参数 的 前 提 
"ie 

n WEEER: EBORE. BK NRM RE NAS 
等 设备 都 可 以 进行 还 程 管 理 ， 只 要 该 设备 具备 图 形 化 管理 界面 ， 那 么 我 们 融 可 以 通过 
管理 下地 址 来 远程 管理 。 管 理 时 只 要 注意 保证 使 用 的 站 口 没 有 被 封锁 即 可 。 


EIFE 使 用 Xmanager 3.0 实现 Linux 远程 登录 管理 
通常 大 家 所 熟悉 的 Putty 和 Secure SSH 软件 基本 上 是 都 无 法 局 动 窗 口服 务 的 程序 或 进程 , 也 


无 法 达到 远程 果 面 控制 Linux 的 目的 。 在 许多 情况 下 ， 远 程 登录 和 果 面 控制 Linux 也 是 非常 必要 
和 重要 的 管理 工作 。 下 面 将 介绍 通过 Xmanager 远程 更 面 控制 Linux 的 方法 和 技巧 。 
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XX 是 用 在 大 多 数 UNIX 系统 中 的 图 形 支 持 系统 ,如 果 用 户 在 日 己 的 Linux 机 右上 使 用 GNOME 
或 者 KDE 的 话 ， 束 正在 使 用 X 系统 。 它 由 义 联盟 (www.X.org) 定义 并 维护 。 大 多 数 的 Linux 
用 户 使 用 的 都 是 由 XFree86 WH (www.xfree86.org) 提供 的 X Window 系统 的 实现 。xdm 是 一 个 
显示 管理 句 ， 提 供 了 有 灵活 的 任务 管理 功能 。 然 而 xdm 通 第 被 认为 是 “GUI 的 登录 屏幕 ， 可 以 目 
动 局 动 我 的 X 任务”， 用 户 会 看 到 实际 上 它 要 更 为 强大 。 

xdm 使 用 X 联盟 的 X 显示 管理 控制 协议 ， 即 XDMCP, KM X 服务 喜 通 信 。 它 允许 X 服务 
器 从 运行 xdm 服务 的 服务 器 上 获得 会 话 服务 。 当 使 用 xdm 管理 这 些 X 任务 的 时 候 在 设置 上 会 有 
些 复 区。 但 设置 xdm 可 以 得 到 本 地 的 和 其 他 服务 右上 的 曲面 。 


11.2.1 配置 Xmanager 服务 器 端 























由 于 Xmanager 是 共享 软件 , 且 运 行 于 Windows 控制 端 , 所 以 获取 非常 容易 , XX HUBER. 
读者 可 以 通过 Internet 轻松 获得 并 安装 ， 下 和 面 将 以 目前 最 独 的 Xmanager 3.0 版 本 进行 介绍 。 为 了 
使 用 该 软件 , 需要 在 Linux 服务 器 上 配置 xdm, 这 里 摘 述 的 配置 允许 任何 XDMCP 客户 访问 Linux 
服务 器 果 和 面 环境 。 

为 了 使 用 Xmanager 通过 呆 面 方式 监控 和 省 理 远 程 Linux， 需 要 在 和 远程 被 管理 新 的 Linux 上 
进行 以 下 配置 和 文件 修改 工作 。 

(12 打开 /etc/inittab 文件 ， 将 runlevel Æ 5, EP id:5:initdefault: 如 果 原 来 束 是 5， 则 不 用 修改 。 

(2) 对 于 Red Hat 系列 操作 系统 ， 打 开 /etc/X11/edm/gdm.conf 文件 (对 于 Fedora 系列 是 
/etc/edm/custom.conf XF) 并 找到 [xdmcp] 部 分 ， 将 Enabled 选项 设 为 true 或 1; 同时 ， 要 确保 存 
在 “Port=177” 语 句 ， 因 为 177 m LA Z5 H3 7^ E BU ELIT] XDMCP 服务 的 监听 器 口 。 

(3) 打开 /etc/X11/xdm/xdm-config 文件 ， 找 到 DisplayManager.requestPort: 0， 然 后 在 前 面 加 
dq T 

(4) 打开 /etc/X11/xdm/Xaccess 文件 ， 找 到 #x##any host can get a login window， 将 第 一 个 “#” 
TAN XE. 

(5) 修改 确保 /etc/X11/xdm/Xservers I] BTE 7j 444, /etc/X11/xdm/Xsetup 0 的 属性 为 755。 当 
然 ， 有 一 些 Linux 操作 系统 ， 比 如 在 Red Hat Linux 中 ， 用 户 可 以 看 到 这 两 个 文件 默认 的 属性 束 
是 444 和 775， 因 此 就 不 需要 修改 。 

(6) 如 琳 用 户 的 Linux 机 器 配置 有 防火 墙 ， 为 防止 防火 墙 将 通过 177 9m E17 CE xdmcp 服务 ) 
的 数据 过 小 ， 用 户 作 须 加 上 以 下 防火 墙 规 则 。 

ee SAIN PUT el Ol O lO lh OE 


CI) 重新 局 动 Linux 即 可 。 
11.2.2 ”配置 Xmanager 客户 站 
































另外 ,用 户 还 需要 在 Windows 管理 和 控制 端 安装 软件 Xmanager, 在 本 文中 采用 Xmanager 3.0 
版 本 ， 安 装 过 程 非常 简单 ， 在 此 不 再 获 述 。 安 装 好 该 软件 后 ， 可 以 根据 以 下 配置 来 完成 监控 和 管 
NIE (S 

(1) JH JJ Xbrowser， 选 择 File 荣 单 中 的 New Session Wizard 命令 ， 如 图 11-1 所 示 。 

(2) 系统 弹出 New Session Wizard 对 话 框 ， 选 中 XDMCP 单 选 按钮 ， 如 图 11-2 所 示 。 





L4 E134 New Session Fizard 


Tools Help 





Session Type 


M Jew Session Wizard... 


[B] Static Session z Select the session type that you want to create, 
aj Xstart Session 





区 Xshell Session 
X£tp Session All Xmanager session starts Xmanager as the PC X server on your desktop. 


Xstart and XDMCP sessions then directly start the X application or the X Window 
environment on your remote host and Forward it to your desktop. Passive sessions only 


Send To start Xmanager on your desktop and waits For the remote host to connect. 


Import... 





X O xstart (For running an X11 application) 


r | ($) XDMCP (For running an X Window environment) 
X O Passive 


NetSarang Computer, Inc, — 














Creates a new session. XDMCP local broadcast: On 
11-1  Xbrowser 窗口 图 11-2 New Session Wizard 对 话 框 


(3) 将 Host 1t 2j Linux 机 器 的 卫 ， 为 192.168.10.88, Port Number 为 177， 如 图 11-3 所 示 。 
(4) 设置 完成 后 ， 将 在 Xbrowser 中 出 现 配 置 好 的 机 器 的 图 标 ， 如 图 11-4 所 示 。 


New Session Fizard 7$ Xbrowser 


; File View Tools Help 
Connection Method and Host Name = 


Specify the XDMCP connection method and the remote host. A ` : | : [Ne ~ metre X [À Properties aa D 5» imp E 


; Address v 47 Go 

















Sessions ui Ba) 
Select a XDMCP connection method from the Method list, he T EE 
[2-435 Xmanager 
B e XDMCP localhos... 192.188.... 





E Dynami 
Method: | XDM Query v El TYPE 


"X Xstart 
- Query: Direct connection to the remote host specified below E» Xshell 

- Indirect: Indirect connection to the remote host seen from the host specified below 多 xftp 

- Broadcast: Collecting all available remote hosts in the local network 








Enter the host name or IP address of the remote host that you want to connect to. 





Host: |192.168.10.88 v 











Port Number: |177 

















图 11-3 设置 远程 Linux 机 器 的 卫 地 址 和 端口 11-4 设置 完成 








XDMCP local broadcast: Ün 


(5) 配置 完成 后 ， 单 击 图 11-4 中 的 相应 图 标 进入 远程 系统 后 则 能 根据 需求 进行 远程 监控 和 
管理 工作 ， 如 图 11-5 所 示 。 
we. Wj 


A H Fai E 





`” localhost. localdomain:177 - Xmanager 3.0 (Evaluation Only) [:0.01 


LOI 


root 的 主 目录 


[v| root@localhost: 
文件 E) MRAD 查看 (V) ”终端 DD HAO — XD 
D [roo t@loca Ilhost root]# 11 


: 总 用 量 276 
Wi -rw-r--r-- root 1830 2008-07-17  anaconda-ks.cfg 
DVE drwx------ root 4096 2008-10-31 Desktop 

re |-rw-r--r-- root 24042 2008-07-17  install.log 
root 5156 2008-07-17  install.log.syslog 
root 214573 2008-07-28 Screenshot .jpg 
root 597 12H 14 13:16 test 
root 12H 14 13:15 test.c 
root 96 2008-09-10 未 命名 文件 夹 
root]# | | 


-rwr--r-- 
-rw r--r-- 
-rwxr-xr-x 
-EMT E 
drwxr-xr-x 
[root@loca Ihos 


æ N o» md md m D o 





fm 2 Windows Expl... ~| BH Viware Workstation TÉ Xbrowser cs C: MINDOWSNsyst... > localhost. local... 


图 11-$ 使 用 Xmanager 远程 管理 Linux 
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ETE 使 用 VNC 实现 Linux 远程 管理 


11.3.4 VNC 简介 


ERF, MIEREA RKE VNC o VNC (Virtual Network Computer, KEJU W 
络 计算 机 ) 是 一 僚 由 ATAT KERFERRE ANLAR, ARAFE. EE 
说 ， 任 何人 都 可 以 免费 取得 并 不 受 限制 地 使 用 这 球 软 件 。 根 据 主 控 闹 与 被 控 端的 不 同 ，VNC 软 
件 可 以 分 为 两 个 部 分 ， 分 别 为 VNC Server Ej VNC Viewer。 前 者 是 安装 在 被 控制 端 上 ， 而 后 者 被 
安装 在 主 控 闹 上 。VNC 软件 不 仅 是 开源 的 ， 而 且 是 路 平台 的 。 也 束 是 说 ， 其 不 仅 在 Linux 操作 
系统 上 可 以 使 用 ， 而 且 也 文 持 Windows 操作 系统 。 因 此 有 不 少 系统 管理 员 ， 他 们 可 能 使 用 的 是 
微软 的 操作 系统 ， 也 喜欢 使 用 这 个 VNC 来 作为 远程 管理 Linux 服务 器 或 者 客户 总 的 工具 。 

整个 VNC 运行 的 工作 流程 如 下 。 

(1) VNC 客户 端 通过 浏览 吉 或 VNC Viewer 连接 至 VNC Server. 

(2) VNC Server 传送 一 对 话 窗口 全 客户 靖 ， 要 求 输 入 连接 密码 ， 以 及 存 取 的 VNC Server S 
不 装置 。 

(3) 在 客户 端 输入 联机 密码 后 ，VNC Server 验证 客户 端 是 否 具 有 存 取 权 限 。 

(4) 看 是 客户 闫 通过 VNC Server 验证 ， 客 户 奖 即 要求 YNC Server 显示 果 面 环境 。 

(5) VNC Server 通过 X Protocol 要 求 X Server 将 画面 显示 控制 权 交 由 VNC Server fi vi. 

(6) VNC Server 将 来 由 X Server 的 加 和 耐 环境 利用 VNC 通信 协议 送 全 客户 新 ,并且 允许 客户 
"wn VNC Server 的 时 面 环境 及 输入 状 置 。 


11.3.2. AZ VNC 服务 器 


利用 VNC 软件 实现 远程 控制 的 基本 诛 理 是 主 控 中 利用 VNC 客户 器 肥 起 连接 请 求 ， 锌 控 响 
同意 后 即 可 建立 远程 控制 。 此 时 主 探 咽 束 可 以 远程 操控 被 控 闹 。 因 此 要 利用 VNC 软件 来 远程 操 
控 Linux 操作 系统 的 话 , 必须 先 在 Linux 操作 系统 上 局 动 VNC 服务 如 软件 ,否则 古 无 法 建 六 VNC 
连接 的 。 不 过 在 大 部 分 的 Linux 操作 系统 中 ， 如 红帽子 的 Linux 系统 ， 一 般 默 认 都 会 安装 有 VNC 
服务 占 的 。 不 过 其 出 于 安全 的 考虑 ， 一 般 痢 是 关闭 的 。 如 来 系统 官 理 员 想 利用 VNC 来 实现 远程 
BRIEM Wim E Linux 操作 系统 上 局 动 VNC IRIA o 

在 Linux 操作 系统 的 命 信行 下 ， 系 统 官 理 员 可 以 输入 vncserver 命令 来 月 动 VNC 服务 融 。 在 
局 动 的 过 程 中 为 了 安全 ， 操 作 系 统 会 提示 系统 管理 员 输 入 VNC 连接 的 密码 。 系 统管 理 员 最 好 能 
够 在 这 里 输入 比较 复杂 的 密码 ， 如 英文 字符 与 数字 结合 的 密码 ， 以 增加 破 详 的 难度 。 由 于 建立 
VNC 连接 后 ， 主 控 端 可 以 像 操作 目 己 的 电脑 那样 来 操作 航 探 闫 ， 所 以 这 个 密码 将 是 保障 其 安全 
的 最 后 屏障 。 局 动 成 功 后 如 图 11-6 所 示 。 
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@ Applications Places System y 1:41 PM Q) 


File Edit View Terminal Tabs Help 
[root@localhost ~]# vncserver 























(«e| | 回 [VNC: localhost.localdomain:1 (root)] Jl 加 root@localhost:~ 


| 
图 11-6 启动 VNC Server 


密码 配置 完成 后 ，Linux 操作 系统 最 后 还 会 提示 VNC 连接 的 地 址 。 如 上 面 所 示 ， 最 后 系统 
管理 员 可 以 使 用 localhost.localdomain 来 远程 操控 Linux 操作 系统 。 以 后 在 VNC 客户 新 上 只 要 得 
入 这 个 网 络 地 址 ， 束 可 以 连接 到 VNC 服务 右上。 如 果 后 续 需 要 更 改 VNC 的 连接 密码 ， 需 要 使 
用 vnepasswd 来 进行 更 改 。 注 意 不 是 passwd。 这 和 更 改 用 户 密 但 的 命令 不 同 。 一 般 情 况 下 ， 只 要 
正常 显示 了 其 网 络 地 址 ， 那 么 这 个 VNC 服务 束 是 正音 局 动 了 。 

另外 为 了 安全 ， 中 断 VNC 服务 器 之 后 ， 最 好 在 服务 器 上 能 够 及 时 关闭 VNC 应 用 服务 器 。 
关闭 的 命令 如 上 ， 只 需要 运行 以 下 命令 即 可 : 

#vncserver -kill :1 

其 中 最 后 的 1 表示 之 前 启动 的 窗口 编写 。 系 统管 理 员 应 该 养 成 一 个 习惯 , 即 当 某 个 服务 局 动 
后 ， 要 及 时 关闭 它 。 多 启动 一 个 服务 ， 就 多 给 黑客 一 个 攻击 的 机 会 。 特 别 是 将 操作 系统 当 作 服务 
器 来 使 用 的 时 候 ， 这 个 习惯 能 够 在 很 大 程度 上 提 融 服务 器 系统 的 安全 性 。 其 实 不 仅仅 是 VNC 服 
务 器 如 此 ， 像 其 他 的 Telnet 服务 等 也 要 养 成 这 个 习惯 。 一 般 来 说 ，Linux 操作 系统 默认 不 局 动 的 
服务 ， 系 统管 理 员 在 月 动 它 们 之 后 ， 最 后 都 要 及 时 关闭 。 

不 过 如 采 企 业 的 布局 比较 大 , 如 从 系统 管理 员 的 办 公 室 到 Linux 操作 系统 客户 病 那 边 需 要 走 
半 个 小 时 。 此 时 为 了 管理 的 方便 ， 如 采 对 方 操 作 系 统 只 是 用 来 作 普通 的 客户 疹 的 话 ， 那 么 驶 可 以 
让 Linux 操作 系统 在 局 动 时 上 日 动 局 动 VNC 服务 器 ， 以 方便 在 过 到 问题 时 ， 系 统管 理 员 能 够 及 时 
连接 上 VNC 服务 器 进行 远程 故 隐 排除 或 者 远程 协助 。 由 于 客户 端的 安全 性 要 求 不 怎么 严格 ， 所 
以 在 管理 便利 方面 上 可 以 做 出 一 定 程 度 的 妥协 。 但 是 如 果 操 作 系 统 是 作为 服务 堪 的 话 ， 那么 开机 
目 动 司 动 VNC 服务 器 头 似 的 操作 ， 系 统管 理 员 需要 讶 愤 。 如 果 系 统管 理 员 确 定 需 要 开机 时 目 动 
局 动 VNC 服务 器 ， 则 可 以 通过 ntsysv 服务 来 定义 。 即 只 需要 在 命令 行 状态 下 ， 输 入 命令 ntsysv; 
然后 选中 vncserver 条 目 〈 按 空格 键 选择 ) ， 即 设置 了 局 动 VNC 服务 右 。 然 后 需要 修改 
/etc/sysconfig/vncservers 配置 文件 。 找 到 这 个 文件 中 的 VNCSERVER=“1:root” 条 日， 默认 情况 
下 操作 系统 是 将 这 一 行 注释 挥 的 。 系 统 省 理 员 只 和 需要 将 前 面 的 注释 符号 去 挥 即 可 。 如 此 设置 后 ， 
当 操 作 系 统 在 下 次 局 动 后 驶 会 目 动 月 用 VNC 服务 器 。 这 样 系统 管理 员 束 可 以 远程 来 控制 Linux 
操作 系统 ， 进 行 软件 安装 、 系 统 配置 、 远 程 协 作 等 操作 。 
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11.3.3 ”使 用 VNC Viewer 实现 Linux 远程 管理 


在 配置 好 VNC Server Ja, Wf 
以 使 用 VNC Viewer 来 实现 Linux 
的 远程 登录 和 管理 了 。 在 Linux 
下 面 已 经 和 目 市 了 该 客户 端 程序 ， 
用 户 可 以 打开 “应 用 程序 ” 沫 上 
在 弹出 的 级 联 菜单 中 选择 “VNC 
Viewer” 命 令 ， 如 图 11-7 rm. 

系统 弹出 如 图 11-8 所 示 的 
VNC Server oko] ubt. Hu 
EFE SEG IN M IS a HL e 

输入 地 址 后 , YNC Viewer i£ 
接 上 VNC Server，Server 需要 对 
VNC 客户 端 进行 刁 份 验证 ， 弹 出 
如 图 11-9 所 示 的 对 话 框 ， 用 户 输 
入 之 前 设置 的 密码 即 可 。 


| BARI LORSIT3 TES PESE Tala res [12 Details - O XxX 








11-7 使 用 VNC Viewer 





E VNG Authentication [VncAuth] 二 


VNC server: | calnostiocaldomain:| Username: | 





About... | Options... OK | Cancel | Password: [ 
11-8 ”输入 VNC Server 地 址 11-9 输入 密码 
行 客户 器 通 过 服务 侣 端的 


MN. 则 会 进入 如 图 11-10 所 
示 的 远程 登录 界面 ,用 户 即 可 在 
图 形 界面 下 简单 、 方 便 地 对 远程 
的 Linux 进行 访问 和 管理 了 。 














HE 13 [root@localhost:~] || O VNC: localhost.localdomain:1 (root) | [mi | | | 9 


11-10 成 功 使 用 VNC Server 
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11.3.4 使 用 SSH+VNC 实现 安全 的 Linux 远程 桌面 管理 


VNC 可 以 对 数据 进行 压缩 ， 使 得 传输 的 数据 量 比 直 接 用 SSH 加 密 的 小 ， 但 缺点 是 有 一 到 两 
次 机 会 让 同一 网 段 的 计算 机 用 sniffer 盘 听 到 用 户 名 和 蜜 但。 认证 之 后 的 数据 可 以 进行 加 密 传 输 ， 
所 以 使 用 过 程 中 奋 经 过 配置 ， 则 是 安全 的 ， 否 则 传输 内 容 不 能 保证 完全 你 密 。 必 要 时 可 以 通过 
SSH 进行 加 黎 端 口 映 射 来 保证 传输 用 户 名 和 密码 的 时 候 也 是 加 答 的 , 这 一 操作 占用 的 额外 融 宽 是 
极 少 的 。 

PRT SSH 保护 VNC 的 安全 ， 需 要 使 用 SSH 的 端口 转发 功能 。 一 般 在 客户 端 使 用 的 是 Linux 
的 时 候 ， 可 以 先 用 SSH 建立 连接 ， 语 法 上 应 当 添 加 “工本 地 站 口 :本 地 地 址 :远程 交口 远程 地 址 ” 
这 一 附加 参数 ， 比 如 说 本 地 是 X.Y.Z.W， 服 务 器 是 A.B.C.D， 要 转发 的 端口 本 地 的 是 5901， 远 程 
的 也 是 5901， 那 么 命令 应 当 是 : 

Sh T9900 RY 7 a aae D 

其 他 的 参数 多 数 可 以 同时 使 用 。 执 行 完 毕 后 就 已 经 创建 了 服务 器 5901 端口 和 本 地 5901 端口 
的 加 密 隧 这 。 假 设 要 连接 的 服务 占 上 运行 的 VNC 时 和 面 写 是 2， 则 继续 执行 以 下 命令 。 

VNCVIeWEr A.B. C.D: 

这 样 打开 的 VNC 窗口 所 有 数据 部 经 过 了 SSH 的 加 密 。 

由 于 一 般 管理 情况 下 多 采用 SSH 的 Windows 客户 端 , 也 就 是 SSH Secure Shell, 所 以 下 面 介 
绍 如 何 配置 Windows 下 的 SSH Secure Shell 来 配合 VNC 实现 安全 的 Linux 远程 果 面 管理 。 

HIC Æ SSH Secure Shell 的 主 界 面 上 选择 Settings 下 的 Tunneling, AU] 11-11 所 示 。 

然后 ， 选 择 添 加 一 个 配置 ， 如 网 11-12 所 示 ， 其 中 Listen AHA, Destination 是 远程 地 
HEX E, Display 可 以 设 定 目 己 的 摘 述 。 
































Settings 
= Profile Settings ^ Tunneling 
-|. Connection Wi 
Cipher List Configure secure outgoing tunnels that are initiated from 
Authentication the local computer to the server. Communication will be 
Colors secured between the local computer and the server, but 
insecure beyond the server. 
Keyboard The settings will take effect upon next login. 
Tunneling 
File Transf : 
Remote Favorite Outgoing | Incoming 
Global Sett 
k "s Listen... | Dest Most Dest ... | Allo 
ppearance 
Font 5902 192.168.... 5902 Yes 
Col 
Messages 
-)} User Authenticatio: 
Keys 
Certificat Edit Outgoing Tunnel 
SSH Accession 
PKCS #11 


Configuratio 


Display Sa H+HVHC 





Host Key : Type: TCF iz 
CA Certificates Ili tunneling 
LDAP Servers Enable secure tunneling for X11 graphic connections. An Licem [5902 
-.File Transfer X server has to be also running in passive mode on the 
Advanced v local computer. l W Allow Local Connections Í 
€ m g = | Tunnel X11 connectio: 


Destination 192. 1685. 52., 69 


| Destinati | 


图 11-11 为 SSH Secure Shell 设 定 Tunneling 图 11-12 Tunneling 设 定 的 具体 选项 
最 后 ， 再 运行 vncviewer 来 连接 即 可 。 特 别 值得 注意 的 是 : 此 处 Server 的 地 址 不 是 需要 连接 
的 VNC Server 的 地 址 ， 而 是 前 面 设 定 的 本 机 的 SSH 侦 听 问 口 的 地 址 ， 因 为 所 有 通 往 VNC Server 
的 流量 都 需要 先 经 过 本 机 的 SSH 进行 转发 ， 如 图 11-13 所 示 ， 一 般 设 定 为 localhost 加 端口 即 可 ， 
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口 就 是 在 图 11-12 中 设 定 的 SSH 的 侦 听 端 





Wi ee 


Fn ZEB AS aW] VNC 流量 , 均 及 用 SSH 协议 进行 了 加 密 传输 ， 因此 针对 传统 的 未 经 过 
加 密 处 理 的 VNC 通信 来 说 要 安全 很 多 ， 


FHC Yiewer : 


n 


能 够 有 效 地 避免 窃 


Connection Details 


Server: 





pend Encryption: E Server Choose T ICH 





行 抓 包 的 结 采 ， 可 以 看 到 ， 从 客 
SSH 


听 和 中 间 人 攻击 。 


E3 


11-13. 使 用 Windows 中 的 VNC Viewer j£ 








f£ Linux "jj HY VNC Server 

















füb Applications Places System ® - 1:30PM Qj) 
ethO: Capturing - Wireshark = rer [rx 
File Edit View Go Capture Analyze Statistics Help 
) Cel ES ® G 了 N 
Bose rE ECEE E E ea«a.arauex mam 
No.. Time Source Destination Protocol Info ^ 
12907 543.038507 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12910 543.073896 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12912 543.078962 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12914 543. 198390 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12916 543.206839 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12918 543.215994 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12920 543.230291 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12922 543.238679 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12924 543.246826 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12926 543.254629 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12928 543.259565 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 
12930 543.420235 192. 168. 82.69 192. 168. 82. 185 SSH Encrypted response packet len=64 
12931 543.421344 192. 168.82. 185 192. 168. 82.69 SSH Encrypted request packet len=80 = 
12935 544.020769 192. 168.382.69 192. 168.82. 185 SSH Encrypted response packet Len=64 p 
Source: 192.168.82.69 (192.168.82.69) E 
Destination: 192.168.82.185 (192. 168.82. 185) 














" Transmission Control Protocol, Src Port: 
Source port: ssh (22) 
Destination port: terabase (4000) 
Sequence number: 3223313 (relative sequence number) 
[Next sequence number: 3223377 (relative sequence number)] 
65697 


ssh (22), 


Acknowledgement number: (relative ack number) 
Header length: 20 bytes 
Flags: 0x18 (PSH, ACK) 
Window size: 63360 
P Checksum: O0xd5db [correct] 
" SSH Protocol 


Encrypted Packet: 0C41D0956521D8DEE37358203FDCFD1F2804A892CCE8DE73. .. 





Dst Port: terabase (4000), Seq: 3223313, Ack: 65697, Len: 


64 





f7 80 d5 db 00 00 jJ 
dc fd 1f 28 04 
63 fb 1b fO 68 


39 76 38 GEREI) 


65 21 d8 
cc e8 de 
a4 21 f2 
af al 5e 





- Packets: 15242 Displayed: 2147 Marked: 0 





—————————— 
图 11-14 针对 上 述 通信 流程 的 抓 包 结 
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Profile: Default 


琳 显 不 





本 章 导 读 


近 十 几 年 来 ， 互联 网 已 经 成 为 越 来 越 重 
要 的 需求 。 据 统计 ， 互 联网 目前 已 成 为 人 类 
社会 最 重要 的 信息 基础 设施 ， 占 人 类 信息 交 
流 的 80%。 它 对 社会 进步 、 经 济 发 展 和 国家 
安全 具有 重大 战略 意义 。 在 这 种 大 背景 下 ， 
面 对 日 益 复 杂 的 网 络 联机 及 逐渐 增加 的 网 络 
流量 ， 系 统 和 网 络 管理 者 必须 花费 更 多 时 间 
和 精力 来 了 解 这 些 网 络 设 备 的 运作 状况 ， 以 
维持 一 个 系统 的 正常 运作 。 

二 般 来 说 ， 网 络 管理 者 所 需要 了 解 的 是 
各 个 网 段 的 使 用 情形 、 频 宽 的 使 用 率 、 网 络 
问题 的 瓶颈 发 生 于 何 处 。 当 网 络 问题 发 生 时 ， 
必须 能 够 很 快 地 分 析 和 判断 出 问题 的 发 生 原 
因 ， 可 能 是 线路 问题 、 网 络 设备 问题 或 者 是 
路 由 器 的 设 定 问 题 。 对 网 络 流量 进行 有 效 的 
管理 是 最 大 化 发 挥 网 络 效能 的 首要 因素 。 屠 
么 ，500 强 企业 管理 网 络 流量 的 时 候 应 该 通 
过 什么 样 的 依据 管理 ， 通 过 什么 手段 有 效 地 
识别 流量 ， 并 分 析 和 管理 呢 9 本 章 将 针对 
Linux 网 络 ,介绍 网 络 流量 管理 的 主要 技术 和 
EE, 
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一 般 来 说， 我 们 可 以 将 网 络 流量 管理 大 致 分 为 以 下 几 个 大 的 范 畏 。 


12.1.1 流量 识别 





流量 识别 ， 也 叫 业 务 识 别 | (Application Awareness) , ‘EEEE M28 MV I 33 39]] 7 Je fu HH 
现 的 一 个 新 的 概念 , 388 1:16] NV. 25 Dt 58: A CS e a 8I HEROS BEES E AW Me MALOS. 
只 口号 、 特 征 字 符 串 和 流量 行为 特征 等 参数 ， 获 取 业 务 类 型 、 业 务 状态 、 业 务 内 容 和 用 户 行为 等 
信息 ， 并 进行 分 类 统计 和 存储 。 业 务 识 询 的 基本 目的 是 帮助 网 络 管理 者 获得 网 络 层 之 上 的 业务 层 
流量 信息 ， 如 业务 类 型 、 业 务 状 态 、 业 务 分 布 、 业 务 流 量 流 向 等 。 业 务 识 别 是 一 个 相对 复杂 的 过 
程 ， 需 要 多 个 功能 模块 的 协同 工作 。 业 务 识别 的 工作 过 程 简 单 地 描述 如 下 。 
a ”识别 处 理 模块 采用 多 通道 识别 处 理 ,通过 对 网 络 流量 的 源 /目的 IP 地 址 和 源 /目的 端口 号 
的 Hash 算法 ， 将 网 络 流量 均匀 地 分 配 到 多 个 处 理 通道 中 。 
mn 多 处 理 通 道 并 行 执行 网 络 激 量 的 深度 报 文 检 人 租 ， 获 取 网 络 流量 的 特征 信息 ， 并 与 业务 
识别 特征 库 中 的 特征 进行 比 对 。 
a 将 匹配 结果 送 往 识 别处 理 模 块 ， 并 标识 特定 网 络 流量 。 如 果 存 在 多 个 匹配 结果 ， 选 取 
优先 级 较 高 的 匹配 结果 进行 标识 。 特 定 网 络 流量 一 经 识别 确定 ， 该 网络 流量 的 后 续 连 
接 将 不 再 进行 深度 报 文 检查 ， 直 接 将 其 网 络 层 和 传输 层 信 息 与 已 知识 别 结 采 进 行 比 对 ， 
提高 执行 效率 。 
a ”识别 处 理 模块 将 网 络 流量 的 业务 识别 结果 存储 到 识别 结果 存储 模块 中 ， 为 网 络 流量 的 
统计 分 析 提 供 依据 。 
a ”统计 分 析 模 块 从 识别 结果 存储 模块 中 读 取 相关 信息 ， 并 以 曲线 、 饼 图 、 柱 状 图 或 者 文 
本 的 方式 将 识别 结果 信息 显示 ， 或 以 文件 的 形式 输出 。 
a ”在 结果 存储 模块 中 保存 的 识别 结果 信息 会 输出 到 网 络 流量 管理 功能 区 ， 为 实施 网 络 流 










































































量 管理 提供 依据 。 
目前 和 常用、 上 典型 的 业务 识别 技术 束 是 我 们 所 熟知 的 DPI 技术 和 DFI 技术。 
1. DPI 技术 





DPI 是 深度 报 文 检测 (Deep Packet Inspection). 的 简称 ， 是 一 种 典型 的 业务 识别 技术 。DPI 
技术 之 所 以 称 为 “深度 ”的 检测 技术 ， 是 相对 于 传统 的 检测 技术 而 言 的 。 传 统 的 流量 检测 技术 仅 
获取 那些 寄存 在 数据 包 了 网络 层 和 传输 层 协 议 头 中 的 基本 信息 ， 包 括 源 /目的 TP 地 址 、 源 /目的 传输 
层 端 口号 、 协 议 号 ， 以 及 底层 的 连接 状态 等 。 通 过 这 些 参数 很 难 获得 足够 多 的 业务 应 用 信息 。 对 
于 当前 P2P NH]. VoIP 应 用 、IPTYV 应 用 被 广泛 开展 的 情况 ， 传 统 的 流量 检测 技术 已 经 不 能 满足 
网 络 流量 管理 的 需要 了 。 

DPI 技术 对 传统 的 流量 检测 技术 进行 了 “深度 ”扩展 ， 在 获取 数据 包 基 本 信息 的 同时 ， 对 多 
个 相关 数据 包 的 应 用 层 协议 头 和 协议 负 谷 进 行 扫 摘 ， 获 取 寄 存在 应 用 层 中 的 特征 信息 ， 对 网 络 流 
量 进行 精细 的 检查 、 监 控 和 分 析 。 

DPI 技术 通 负 采用 以 下 数据 包 分 析 方 法 。 

a 传输 层 站 口 分 析 。 许 多 应 用 使 用 默认 的 传输 层 痕 口 号 ， 例 如 HTTP 协议 使 用 80 9m H1. 
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a 特征 字 匹 配 分 析 。 一 些 应 用 在 应 用 层 协 议 头 ， 或 者 应 用 层 负 和 谷 中 的 特定 位 置 中 包含 特 
征 字 段 ， 通 过 特征 字段 的 识别 实现 数据 包 检 碍 、 监 控 和 分 析 。 

a 通信 交互 过 程 分 析 。 对 多 个 会 话 的 事务 交互 过 程 进行 监控 分 析 ， 包 括 包 长 度 、 发 送 的 
包 数 目 等 ， 实 现 对 网 络 业 务 的 检查 、 监 控 和 分 析 。 

2. DFI 技术 


DFI 是 深度 流行 为 检测 CDeep Flow Inspection? 的 简称 ， 也 是 一 种 典型 的 业务 识别 技术 。DFI 
技术 是 相对 于 DPI 技术 提出 的 ， 是 为 了 解决 DPI 技术 的 执行 效率 、 加 密 流 量 识别 和 频繁 升级 等 
问题 而 出 现 的 。DFI 更 关注 于 网 络 流量 特征 的 通用 性 ， 因 此 ，DFI 技术 并 不 对 网 络 流量 进行 深度 
的 报 文 检测 ， 而 仅 通 过 对 网 络 流 量 的 状态 、 网 络 层 和 传输 层 信 息 、 业 务 沉 持 续 时 间 、 平 均 流 速 座 、 
字 节 长 度 分 布 等 参数 的 统计 分 析 ， 来 获取 业务 类 型 、 业 务 状 态 。 

两 种 技术 的 设计 基本 目标 痢 是 为 了 实现 业务 识别 , 但 是 两 者 在 实现 的 看 眼 点 和 技术 细节 方面 
还 是 存在 看 较 大 区 别 的 。 从 两 种 拉 术 的 对 比 情况 看 ， 两 者 互 有 优势 ， 也 互 有 短处 ，DPI 扩 术 适用 
于 需要 精细 和 准确 识别 、 精 细 管 理 的 环境 ， 而 DFI 技术 适用 于 需要 高 效 识 别 ， 粗 放 管 理 的 环境 。 


12.1.2 ”流量 统计 分 析 


网 络 沈 量 党 理 的 基本 目标 是 了 解 网 络 、 业 务 和 用 户 资 源 的 使 用 情况 , 找到 性 能 租 贷 并 进行 精 
细 化 过 理 ， 对 用 户 行为 进行 分 机 和 控制 ， 以 及 对 信息 安全 防护 。 

在 网 络 中 多 个 层面 的 网 络 设备 中 集成 业务 识别 功能 , 如 骨干 市 点 之 间 、 服 务 提供 商 互 联 市 扩 
之 间 、 国 际 出 口 、 城 域 网 出 口 和 城 域 网 接 入 层 等 ， 或 者 单独 部 普 具 备 业 务 识 别 功 能 的 网 络 设 备 对 
网 络 流量 进行 统计 分 析 和 趋势 判断 。 通 过 流量 统计 分 析 ， 网络 管理 者 能 够 知道 当前 网 络 中 的 业务 


流量 的 类 型 、 市 宽 、 时 间 和 和 衬 间 分 布 、 流 癌 等 信息 。 


12.1.3 流量 限制 

























































































将 流量 限制 能 力 谎 加 到 网 络 流量 管理 中 , 能 够 帮助 网 络 管 理 者 对 网 络 资源 和 业务 资源 进行 带 
狗 控制 和 资源 调度 。 有 具备 流量 限制 能 力 的 网 络 流量 管理 将 具备 P2P 应 用 的 管理 能 力 ， 通 过 对 P2P 
流量 的 抑制 来 提升 传统 数据 业务 的 用 户 体验 度 。 共 备 流 量 限 制 能 力 的 网 络 流量 管理 还 能 够 对 严重 
影响 业务 运营 者 收入 的 未 经 许可 的 业务 进行 抑制 。 通 过 对 VoIP 信 令 流量 和 媒体 流量 的 关联 检测 
和 统计 分 析 ， 以 及 截断 媒体 数据 包 、 伪 北 信 令 报 文 等 方式 对 VoIP MWET mE EE RE. XUI S 
使 用 网 络 屋 、 传 输 层 和 应 用 层 检测 技术 ， 对 未 经 许可 的 宽 市 私 接 用 户 采 取 中 断 连 接 、 主 动 告警 、 
分 时 控制 等 多 种 定理 动作 ， 实 现 对 未 经 许可 的 觉 市 私 接 的 流量 管理 。 流量 限制 还 能 够 帮助 网 络 流 
量 管 理 实 现 业 务 资 源 的 调度 ， 流 量 限制 能 够 获得 业务 资源 使 用 、 业 务 状 态 的 实时 情况 。 当 未 一 业 
务 服务 需 负 载 较 大 时 ， 可 以 进行 全 局 的 业务 资源 负载 均衡 ， 平 均 地 承担 业务 请 求 ;， 同时 也 能 够 对 
用 户 的 业务 请 求 进行 调度 ， 决 定 是 个 继 续 啊 应 用 尸 新 的 业务 请 求 ， 或 者 根据 用 户 的 优先 级 ， 优 先 
啊 应 高 优先 级 用 户 的 业务 请 求 ， 提 升 业 务 运 营 效率 。 


12.1.4 其 他 方面 


对 于 网 络 流量 管理 来 说 , 在 网 络 中 的 多 个 层面 的 网 络 设备 中 集成 业务 识别 功能 ， 或 者 单独 部 
普 具 备 业务 识别 功能 的 网 络 设备 , 和 防火 增 等 网 络 安全 设备 协同 构建 一 个 主动 的 安全 威胁 防御 体 
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系 ， 提 升 整个 网 络 的 安全 防护 能 

其 备 业 务 识别 能 力 的 网 络 流量 官 理 具有 主动 的 流量 特征 识 列 分 析 能 力 , 能 够 主动 地 发 现 请 如 
DDoS 攻击 、 病 军 和 木马 等 异 第 流量 ， 较 好 地 弥补 其 他 网 络 安全 设备 ， 如 防火 墙 、 入 侵 防 护 系 统 
(IPS) 和 统一 威胁 管理 (UTM) 等 的 不 足 ， 捉 升 其 主动 发 现 安 全 威胁 的 能 力 ， 并 能 够 及 时 地 办 其 
他 网 络 安 全 设备 发 出 告警 ， 从 安全 威胁 源头 开始 融 进 行 主动 的 防御 。 























此 外 ， 有 共 备 业务 识别 能 力 的 网 络 流量 管理 还 能 够 效 取 并 保存 网 络 流量 的 网 络 层 信息 《例如 ， 
源 /目的 IP EHE. HIP ERA ID 等 信息 ) ， 通 过 这 些 信息， 网 络 管理 者 能 够 进行 有 效 的 安全 威胁 
的 溯源 定位 。 


需要 管理 的 常见 网 络 流量 





当前 随 着 网 络 应 用 的 不 断 丰 富 和 发 展 ,网络 流量 也 随 之 变 得 复杂 和 种 类 繁多 起 来 。 下面 给 出 
儿 种 最 为 常见 的 网 络 流量 ， 以 方便 网 络 管理 员 在 实际 的 工作 中 着 重 对 它们 进行 监测 和 管理 。 

= HTTP 流量 。HTTP 是 互联 网 TCP/P 协议 族 中 的 一 种 应 用 层 协议 ， 被 广泛 应 用 于 网 页 
流量 、 网 络 下 载 等 。HTTP 协议 正在 取代 传统 文件 下 载 的 主要 应 用 层 协 议 FTP， 此 外 基 
F HTTP 的 网 页 版 邮箱 也 有 取代 传统 的 POP3 协议 的 趋势 。 根 据 国 外 媒体 报道 ， 最 近 发 
布 的 一 个 研究 报告 指出 ， 随 看 YouTube 等 视频 共享 网 站 的 拉动 ， 传 统 的 HTTP 协议 的 
网 络 流量 在 过 去 四 年 里 首次 超过 了 P2P 应 用 的 流量 。 基 于 HTTP 协议 的 互联 网 流量 已 
经 占据 了 全 部 流量 的 46%; 排名 第 二 的 是 P2P 应 用 的 流量 ， 其 占据 了 37% 的 比例 ;， 排 
在 后 面 的 流量 分 别 属于 新 闻 组 (9%) ; dE HTTP 协议 的 视频 流 媒 体 (3%) ; 网 络 游戏 
(2%) ; 以 及 VOIP 网 络 电话 (1%) 。 

= FTP 流量 。 FTP 是 互联 网 中 一 种 应 用 非常 广泛 的 服务 , 用 户 通 过 它 来 从 服务 器 获取 需要 
的 文档 、 资 料 、 音 频 、 视 频 等 。 从 互联 网 出 现 的 开始 ， 它 就 一 直 是 用 户 使 用 频率 最 高 
的 应 用 服务 之 一 ， 重 要 性 仅 次 于 HTTP 和 SMTP. 而 随 着 P2P 应 用 的 出 现 ， 其 重要 性 地 
位 虽然 有 上 所 降低 ， 但 是 仍然 是 用 户 下 载 文件 不 可 符 代 的 重要 应 用 和 途径 之 一 。 

= SMTP 流量 。 电 子 邮件 是 整个 互联 网 业务 重要 的 组 成 部 分 。 据 统计 ， 四 分 之 三 以 上 的 用 
户 上 网 的 主要 目的 是 收发 邮件 ， 每 天 有 数 十 亿 封 电子 邮件 在 全 球 传 递 。 电 子 邮件 已 成 
为 网 络 用 户 不 可 或 缺 的 工具 。 并 且 ， 电 子 邮 件 的 廉价 和 操作 简便 在 给 人 们 带 来 巨大 便 
利 的 同时 ， 也 诱 使 有 些 人 将 它 作 为 大 量 散 发 自己 信息 的 工具 ， 最 终 导致 互联 网 世界 中 
垃圾 邮件 的 泛滥 。 垃 圾 邮件 极 大 地 消耗 了 网 络 资源 ， 并 给 人 们 带 来 了 极 大 的 不 便 。 据 
中 国 互 联网 协会 ASC) 2005 年 第 一 次 反 垃圾 邮件 状况 调查 显示 ， 中 国 邮 件 用 户 2005 
年 4 月 平均 每 人 每 天 收 到 邮件 16.8 封 ， 占 收 到 邮件 总 数 的 60.87%。 因 此 ，SMTP 流量 
目前 占据 相当 大 的 互联 网 流量 比重 。 

= — VoIP 流量 。2006 年 全 球 IP 电话 用 户 从 1030 万 增长 到 1870 万 ， 增 幅 达 83%。2007 年 
VoIP 通话 量 将 达到 全 部 通话 量 的 73%。 数 据 显 示 ，PC2Phone 的 IP 电话 付费 用 户 数 量 
超过 470 万 人 , 算 上 运营 商 IP 电话 服务 的 预定 用 户 的 话 ， 这 一 数字 将 达到 2400 万 。 
此 ， 互 联网 上 VoIP 的 流量 也 是 非常 值得 管理 员 关 注 的 。 

mn  P2P 流量 。 报 告 指 出 ， 目 前 网 络 带 宽 “ 消 费 大 户 ” 是 P2P 文件 共享 , 在 中 东 占 据 了 49%, 
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东欧 地 区 占据 了 84%。 从 全 球 来 看 ， 晚 上 时 段 的 网 络 市 宽 有 9$% 被 P2P 占据 。 在 所 有 
P2P THF, BitTorrent 最 受 欢 迎 ， 在 南欧 地 区 ， 电 驴 处 于 主导 地 位 。 在 P2P 内 容 方面 
并 未 和 去 年 发 生变 化 ， 主 要 还 是 视频 ， 最 受 欢迎 的 是 最 狐 上 了 映 的 电影 、 色 情 电 影 和 疼 
乐 。 其 中 在 中 东 ， 电 子 书 在 P2P 内 容 中 比例 较 高 ， 计 算 机 游戏 在 两 欧 地 区 比例 较 高 。 

= Streaming iŒ. Bü Wa PPLive、PPStream 等 视频 软件 的 出 现 ， 视 频 和 直播 和 点 播 成 为 
广大 互联 网 用 户 观 看 季 目 和 网 上 娱乐 的 最 佳 生活 方式 ， 因 此 其 流量 也 在 不 断 的 剧 增 当 
P. FH, ME POP 技术 的 发 展 ，P2P Streaming 也 成 为 今后 互联 网 中 一 项 非常 重要 的 
应 用 。 




















ELTE 网 络 流量 捕捉 : 图形 化 工具 Wireshark 


12.3.1 Wireshark 简介 


Ethereal 是 一 个 开放 源码 的 网 络 分 析 系 统 ， 也 是 目前 最 好 的 开放 源码 的 网 络 协议 分 析 嚣 ， 文 
FF Linux 和 Windows ^ & . Ethereal 起 初 由 Gerald Combs 开发 ， 随 后 由 一 个 松散 的 Ethereal 团队 
组 织 进行 维护 开发 。 它 目前 所 提供 的 强大 的 协议 分 析 功 能 完全 可 以 媲美 商业 的 网 络 分 析 系 统 ， 目 
从 1998 年 发 布 最 早 的 0.2 版 本 人 至今 , 大 量 的 志愿 者 为 Ethereal 添加 新 的 协议 解析 需 , 如今 Ethereal 
已 经 文 持 五 百 多 种 协议 解析 。 男 外 ， 网 络 分 析 系 统 首 先 依赖 于 一 僚 捕 捉 网 络 数 据 包 的 函数 库 ， 这 
僚 函 数 库 工作 在 网 络 分 析 系 统 模块 的 最 底层 , 作用 是 从 网 卡 取得 数据 包 或 者 根据 过 滤 规 则 取出 数 
据 包 的 子 集 ， 再 转交 给 上 层 分 析 模 块 。 从 协议 上 来 说 ， 这 套 函 数 库 将 一 个 数据 包 从 链 路 层 接收 ， 
至 少将 其 还 原 至 传输 层 以 上 ， 以 供 上 层 分 析 。6 月 8 与 ，Ethereal 的 作者 Gerald Combs 宣布 离开 
NIS 的 消息 ， 因 而 Ethereal 现 改 名 为 Wireshark。 

在 Linux 系统 中 ，1992 年 Lawrence Berkeley Lab 的 Steven McCanne 和 Van Jacobson 提出 了 
包 过 滤器 的 一 种 实现 一 一 BPF (BSD Packet Filter) 。Libpcap 是 一 个 基于 BPF 的 开放 源码 的 捕 包 
KAZU. MAKAI Linux 捕 包 系统 都 是 基于 这 套 疯 数 库 或 者 是 在 它 的 基础 上 做 一 些 针 对 性 的 
改进 。 在 Windows 系统 中 ,意大利 人 Fulvio Risso 和 Loris Degioanni 提出 并 实现 了 Winpcap PEZ 
库 ， 作 者 称 之 为 NPF。 由 于 NPF 的 主要 思想 束 是 来 源 于 BPF， 它 的 设计 目标 就 是 为 Windows 系 
统 提供 一 个 功能 强大 的 开发 式 数 据 包 捕 获 平台 , 希望 在 Linux 系统 中 的 网 络 分 析 工 具 经 过 简单 编 
详 以 后 也 可 以 移植 到 Windows 中 ， 因 此 这 两 种 捕 包 架构 是 非常 现实 的 。 束 实现 来 襄 ， 提 供 的 函 
数 调用 接口 也 是 一 致 败 。Ethereal 网 络 分 析 系 统 也 需要 一 个 底层 的 抓 包 平台 ， 在 Linux 中 是 采用 
Libpcap 函数 库 抓 包 ， 在 Windows 系统 中 采用 Winpcap 函数 库 抓 包 。 


12.3.2 层次 化 的 数据 包 协 议 分 析 万 法 


使 用 捕 包 函数 捕捉 数据 包 后 需要 进行 协议 分 析 和 协议 还 原 工作 。 由 于 OSI 的 7 层 协议 模型 ， 

其 协议 数据 是 从 上 到 下 封 懂 后 及 送 的 。 对 于 协议 分 析 需 要 从 下 全 上 进行 。 月 先 对 网 络 层 的 协议 识 

别 后 进行 组 包 还 原 ， 然 后 脱 去 网 络 层 协 议 头 ,将 里 面 的 数据 交 给 传输 层 分 析 ， 这 样 一 二 进 行 下 去 

直到 应 用 层 。 由 于 网 络 协议 种 类 很 多 ， 就 Ethereal 所 识别 的 500 多 种 协议 来 说 ， 为 了 使 协议 和 协 

议 间 层次 关系 明显 ， 从 而 对 数据 流 里 的 各 个 层次 的 协议 能 够 逐 层 处 理 ，Ethereal 系统 采用 了 协议 

树 的 方式 。 图 12-1 所 示 就 是 一 个 简单 的 协议 树 。 如 果 协 议 A 的 所 有 数据 都 是 封 逆 在 协议 B 里 的 ， 
359 
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那么 这 个 协议 A 就 是 协议 B 的 另外 一 个 协议 的 儿子 节点 《比如 图 12-1 中 的 TCP 和 UDP OUS 
是 IP 协议 的 儿子 节点 ) 。 我 们 将 最 底层 的 无 结构 数据 流 作 为 根 币 点。 则 共有 相同 父 和 点 的 协议 
称 为 兄 肿 节点 。 那 么 这 些 拥 有 同样 父 协议 兄弟 节点 协议 如 何 来 区 分 昵 ? Ethereal 系统 采用 协议 的 
特征 字 来 识别 。 每 个 协议 会 注册 自己 的 特征 字 ， 这 些 特征 字 给 上 自己 的 子 节点 协议 提供 可 以 互相 区 
分 开 来 的 标识 ， 比 如 TCP 协议 的 port 字段 注册 后 ，Tcp.port=21 就 可 以 认为 是 FTP 协议 ， 特 征 字 
可 以 是 协议 规范 定义 的 任何 一 个 字段 ， 比 如 IP 协议 就 可 以 定义 Port 字段 为 一 个 特征 字 。 

在 Ethereal 中 注册 一 个 协议 解析 器 首先 要 指出 它 的 父 协议 是 什么 , 另外 还 要 指出 自己 区 别 于 
父 节 点 下 的 兄弟 节点 协议 的 特征 ， 比 如 FTP 协议 。 在 
Ethereal 中 它 的 父 节 点 是 TCP 协议 ， 它 的 特征 就 是 TCP 
协议 的 Port 字段 为 21。 这 样 当 一 个 端口 为 21 的 TCP žr 
据 流 来 到 时 ， 首 先 由 TCP 协议 注册 的 解析 模块 处 理 ， 处 
理 完 之 后 通过 查找 协议 树 找到 自己 协议 下 面 的 子 协议 ， 
判断 应 该 由 哪个 子 协议 来 执行 ， 找 到 正确 的 子 协议 后 ， 
Ape AES FTP 注册 的 解析 模块 处 理 ， 这 样 由 根 季 点 开始 
一 层 层 解析 下 去 。 图 12-1 简单 协议 树 

由 于 采用 了 协议 树 加 特征 字 的 设计 ,这 个 系统 在 协议 解析 上 有 了 很 强 的 扩展 性 ,增加 一 个 协 
议 解析 器 只 需要 将 解析 函数 挂 到 协议 树 的 相应 节点 上 即 可 。 


12.3.3 ”基于 插件 技术 的 协议 分 析 器 


所 谓 插 件 拉 术 , 束 是 在 程序 的 设计 开发 过 程 中 , 将 整个 应 用 程序 分 成 答 主 程序 和 插件 两 个 部 
分 ， 和 宾主 程序 与 插件 能 够 相互 通信 ， 并 且 ， 在 宾主 程序 不 变 的 情况 下 ， 可 以 通过 增 减 插件 或 修改 
插件 来 调整 应 用 程序 的 功能 。 运 用 插件 技术 可 以 开发 出 伸缩 性 民 好 、 便 于 维护 的 应 用 程序 。 其 若 
名 的 应 用 实例 有 : 媒体 播放 器 Winamp、 微 软 的 网 络 浏览 器 IE 等 。 

由 于 现在 网 络 协议 种 类 莹 多 , 为 了 可 以 随时 增加 新 的 协议 分 析 避 , 一 般 的 协议 分 析 器 部 采用 
插件 技术 , 这 样 如 条 对 一 个 狐 的 协议 分 析 只 需要 开发 编写 这 个 协议 分 析 需 并 调用 注册 函数 在 系统 
注册 束 可 以 使 用 了 。 通 过 增加 插件 使 程序 有 很 强 的 可 扩展 性 ， 各 个 功能 模块 内 只。 


12.3.4 安装 Wireshark 
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Wireshark 可 以 在 http://www. = " > 
wireshark.org/download.html 上 下 载 (其 
主页 参见 图 12-2) ， 该 软件 有 极其 方便 Tt Chap Deeder Buy 
和 友好 的 图 形 用 户 界 和 面 ， 并 且 能 够 使 得 | 
用 户 通 过 图 形 界 和 面 的 配置 和 选择 ， 针 对 LL ome DDE | 
多 块 网 卡 、 多 个 协议 进行 显示 ， 效 果 非 sarn more.. "um 
利好 。 目 前 最 新 版 本 为 : Wireshark 1.0.7. er 
安装 该 软件 请 按照 以 下 步骤 进行 。 























图 12-2 Wireshark 网 站 主页 面 
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(1) 将 下 载 的 最 独 版 本 软件 捞 贝 到 临时 文件 来: 

opire n a aa mee Juexeieldb/ euscu/ 

(20 切换 到 临时 文件 夹 目录 : 

ip exl yes ey local erey 

(3) 解压 缩 文件 : 

# tar -xvf wireshark-1.0.7.tar.gz 

(4) 另外 ， 同 Tepdump 一 样 ， 在 编译 Ethereal 之 前 应 先 确定 已 经 安装 pcap Æ (Libpcap) , 
这 是 编译 Wireshark 时 所 必需 的 。 如 果 该 库 已 经 安装 ， 就 可 以 执行 下 面 的 命令 来 编译 并 安 厂 
Wireshark: 

eed wireshark On 

# ./configure 

# make 


= make install 


当 编 译 并 安装 好 Wireshark 后 ， 束 可 以 执行 Wireshark 命令 来 局 动 Wireshark。 


12.3.5 使 用 Wireshark 


1. 捕 包 选项 


抓 包 是 进行 协议 分 析 的 第 一 步 又， 在 Wireshark 软件 主 界面 (参见 图 12-3) 中 ， 有 几 个 抓 包 
的 相关 选项 需要 特别 注意 ， 如 图 12-4 和 图 12-5 所 示 。 


Q 应 用 程序 tE 系统 Qe D cum wi 5 月 21 日 星期 四 06:38 d) f 3 应 用 程序 位 置 系统 Qo Z aas} wjl 5 月 21 日 星期 四 06:44 d) 
A The Wireshark Network Analyzer eth0: Capturing - Wireshark 





File Edit View Go S anayze Statistics Help 


a Qi g 9 rterfaces... 入 和 中 今 * % BE " 


文件 | File Edit View Go Capture Analyze Statistics Help 
EL 


E 4p Expression... | A IRC) 


国 Filter: [ | v] 4» Expression... | A RRO) 


: Sto Ctrl+E [—- ^ 
| No.. Time @ Stop ination Protocol Info I 


@ Restart | 
ill Capture Filters... 




















b Frame 1 (650 bvtes on wire. 650 bvtes cantured) 





0000 78 06 17 89 00 df 00 17 9a 60 fe lc 08 00 45 00 x.. 

05 de c0 a8 0a la 7d 27 .J|U.Q... ......) 

9e le da 3e 8b 0a 50 18  U....PGK ...»..P. 
0030 44 Oc 70 04 00 00 47 45 54 20 2f 74 62 72 61 2f  D.p...GE T /tbra/ 
eth0: «live capture in progress» -- Packets: 10100 Displayed: 10100 --- Profile: Default 


a. Ready to load or capture No Packets Profile: Default 


[3 | HN wj: consolehelper-g = E The wireshark Network Analyzer am 7S Œ| |" [wjl: consolehelper-g] — |f etho: Capturing - Wires--- | Œ [wjl : bash] | EN | 














图 12-3 Wireshark 主 界面 图 12-4 Wireshark Capture 选项 
a Interface: 指定 在 哪个 接口 (网 卡 ) 上 抓 包 。 一 般 情 况 下 都 是 单 网 卡 ， 所 以 使 用 默认 的 
WHJ DL 
» Limit each packet: 限制 每 个 包 的 大 小 ， 默 认 情 况 下 不 限制 。 
= Capture packets in promiscuous mode: 确定 是 否 打开 混 录 模式 。 如 果 打 开 ， 抓 取 所 有 的 
数据 包 。 一 般 情 况 下 上 只 需要 监听 本 机 收 到 或 者 发 出 的 包 ， 因 此 应 该 关闭 该 选项 。 
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a Filter: 过 滤 颖 。 只 抓 取 满足 过 沽 规 
则 的 包 。 

» File: 如 果 需 要 将 抓 到 的 包 写 到 文件 
中 ， 在 这 里 输入 文件 名 称 。 

=  usering buffer: 是 合 使 用 循环 绥 冲 。 
默认 情况 下 不 使 用 ， 即 一 直 抓 包 。 
值得 注意 的 是 : 循环 绥 冲 只 有 在 写 
文件 的 时 候 才 有 效 。 如 采 使 用 了 循 
环 缓冲 ， 还 需要 设置 文件 的 数目 ， 
文件 多 大 时 回 疮 。 

a 其 他 项 的 选择 默认 的 下 可 以 了 。 


2. 协议 过 滤 CFilter? 选项 

















Oomer tE s* 9o Z aas} wjl 5 月 21 日 星期 四 06:41 d) 
a Ø 







Wireshark: Capture Options 
















文件 5File E Capture 
Interface: |eth0 
IP address: 192.168.10.200, fe80::20c:29ff:fe05:16eb 


mtg Link-layer header type: | Ethernet cil 





«| Capture packets in promiscuous mode 
口 Limit each packet to bytes 
Cee | — — — — — — — —3] 
Capture File(s) 

File: | (© Browse... 


Display Options 


v Update list of packets in real time 





口 Use multiple files 
W Automatic scrolling in live capture 


Hide capture info dialog 
Name Resolution 


I, Enable MAC name resolution 







Stop Capture ... 


LI MAC 口 Enable network name resolution 
O ... after 
[1 ... after 4 Enable transport name resolution 





m) w 
一 一 一 gady BD soksi 
B | [wji : consolehe--. | [fl The Wireshark --- | BB wjl: bash 


G rex 


amus |[ one 
(E wireshark: Cap-- | W | 








图 12-5 Wireshark 捕 包 选项 设置 








由 于 网 络 中 的 协议 五 花 八 门 ，HTTP、EFTP、ARP、ICMP 等 协议 等 都 在 抓 包 的 范围 之 列 ， 


而 给 协议 分 析 工 作 市 来 了 一 些 麻烦 。 


为 了 对 特定 的 协议 进行 分 析 统 计 ， 则 可 以 使 用 Ethereal 提供 


的 Filter 选项 来 对 数据 报 文 进行 过 小 ,对 特定 的 协议 进行 所 取 ， 再 进行 分 析 。 图 12-6 给 出 了 使 用 


Capture 菜单 下 的 Capture Filter 命令 进行 过 小 设置 的 示意 ， 











该 软件 已 经 提供 了 许多 协议 的 Filter 





供用 户 选择 使 用 ， 而 用 户 也 可 以 自行 添加 ; 图 12-7 则 显示 了 通过 在 工具 栏 的 Filter 编辑 框 内 输入 





协议 名 称 对 已 捕捉 的 包 进行 过 小 的 结果 ， 图 中 显示 了 过 小 后 所 得 HTTP 协议 的 数据 包 情 况 。 用 户 











也 可 以 通过 输入 FTP、ARP 或 者 TCP 等 字段 来 获取 相应 的 协议 内 容 。 
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T| | m [wjl : consolehelper-g] | =Œ [wji : bash] 





图 12-6 和 图 12-7 所 示 的 设置 方法 的 不 同 在 于 : 前 者 设置 后 该 工具 只 对 选取 的 协 


议 进 行 捕 包 ; 而 后 者 则 是 在 所 有 捕获 的 数据 包 (包括 各 种 协议 ) 中 选择 用 户 设 定 





的 协议 进行 提取 和 显示 。 


3. 统计 (statistics) 选项 


统计 选项 用 于 对 过 小 后 的 各 协议 类 型 进行 统计 , 从 而 从 宏观 上 对 网 络 中 的 流量 进行 统计 分 析 
和 全 局 把 握 。 图 12-8 给 出 了 操作 的 流程 ， 图 12-9 给 出 了 显示 结果 。 
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ETIN 网 络 流量 捕捉 : 命令 行 工具 tcpdump 


12.4.1 tcpdump 简介 





tcpdump 可 以 将 网 络 中 传送 的 数据 包 的 “ 头 ” 完 全 帘 获 下 来 提供 分 机 。 它 文 持 针对 网 络 层 、 
协议 、 主 机、 网 络 或 端口 的 过 滤 , 并 提供 and. or. not 等 逻辑 语句 来 帮助 你 去 掉 无 用 的 信息 .tcpdump 
束 是 一 种 免费 的 网 络 分 析 工 具 , 尤其 是 它 提 供 了 源 代 码 , 公开 了 接口 , 因此 具备 很 强 的 可 扩展 性 ， 
对 于 网 络 维护 和 入 侵 者 都 是 非常 有 用 的 工具 。tcpdump 存在 于 基本 的 Linux 系统 中 ， 由 于 它 需 要 
将 网 络 界 面 设置 为 混杂 模式 , 普通 用 户 不 能 正常 执行 , 但 具备 root 权限 的 用 户 可 以 直接 执行 它 来 
获取 网 络 上 的 信息 。 因 此 系统 中 存在 网 络 分 析 工 具 主要 不 是 对 本 机 安全 的 威胁 ， 而 是 对 网 络 上 的 
其 他 计算 机 的 安全 存在 威胁 。 另 外 ， 由 于 其 相对 于 Wireshark 来 说 ， 没 有 非 钊 详细 的 用 户 界面 ， 
所 以 非常 适合 于 在 终端 上 使 用 ， 网 络 管理 员 可 以 通过 香 见 的 命令 行 来 进行 流量 捕捉 和 过 滤 等 操 
作 ， 上 所 以 菲 钊 方便 ， 这 也 是 它 一 二 广泛 被 网 络 管理 员 欢 迎 和 使 用 的 原因 。 


12.4.2 ”安装 tcpdump 



































在 Linux F tcpdump 的 安装 十 分 稍 单 ， 一 般 是 以 源 程序 的 形式 安装 。 其 实 ，Linux 一 个 最 大 
的 诱 人 之 处 束 是 在 其 上 面 有 很 多 软件 是 提供 源 程序 的 人 们 可 以 修改 源 程序 来 满足 目 己 的 特殊 的 
需要 。 所 以 我 特别 建议 读者 采取 这 种 源 程序 的 安装 方法 。 最 新 的 tcpdump 的 源 代 码 可 以 在 网 站 
http://www.tcpdump.org/ 上 即时 获得 。 

在 源 程序 的 安装 方式 中 ， 首 先 需 要 取得 tepdump 的 源 程序 分 发 包 。 目 前 ， 该 源 程 序 包 的 最 新 
版 本 为 : tcpdump-4.0.0.tar.gz， 安 狠 的 具体 过 程 如 下 。 

(1) 解压 缩 源 代 码 包 : 

ES 

(2) 做 好 编译 源 程序 前 的 准备 活动 。 

在 编译 源 程序 之 前 ， 需 要 确定 库 文 件 Libpcap 已 经 安装 完毕 ， 这 个 库 文件 是 tepdump 软件 所 
需 的 库 文 件 。 同 样 ， 你 同时 还 需要 一 个 标准 的 C 语言 编译 占 。 在 Linux 下 标准 的 C 语言 编译 器 
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一 般 是 gcc。 在 tcpdump 的 源 程序 目录 中 ， 有 一 个 文件 是 Makefile.in，configure 命令 就 是 从 
Makefile.in 文件 中 目 动 产生 Makefile 文件 。 在 Makefile.in 文件 中 ， 可 以 根据 系统 的 配置 来 修改 
BINDEST 和 MANDEST 这 两 个 宏 定义 ， 默 认 值 如 下 。 


BINDEST - G8sbindir& 





MANDEST = 8mandirG 

第 一 个 宏 值 表明 安装 tepdump 的 二 进 制 文 件 的 路 径 名 ， 第 二 个 宏 值 表明 tepdump 的 man 大 
助 页 的 路 径 名 ， 用 户 可 以 通过 修改 它们 来 满足 系统 的 需求 。 

(3) 编译 源 程序 。 

使 用 源 程序 目录 中 的 configure 脚本 ， 从 系统 中 读 出 各 种 所 需 的 属性 。 并 且 根 据 Makefile.in 
文件 自动 生成 Makefile 文 件 , 以 便 编 译 使 用 。make 命令 则 根据 Makefile 文 件 中 的 规则 编译 tcpdump 
的 源 程 序 。 使 用 make install 命令 安装 编译 好 的 tcpdump 的 二 进 制 文件 。 

其 体 的 编译 步骤 ， 如 下 命令 所 示 : 


# . /configure 


























# make 


us make install 


12.4.3 使 用 tcpdump 











3T DU P. ECBEJH SJ] tepdump 将 监视 第 一 个 网 络 界面 上 所 有 流 过 的 数据 包 。 如 下 命令 所 未 : 

* tcpdump 

tcpdump 文 持 相 当 多 的 不 同 参 数 ， 如 使 用 -i 参数 指定 tepdump 监听 的 网 络 界 面 ， 这 在 计算 机 
共有 多 个 网 络 界面 时 非常 有 用 ; 使 用 -c 参数 指定 要 监听 的 数据 包 数 量 ;使 用 -w 参数 指定 将 监听 
到 的 数据 包 写 入 文件 中 保存 ， 等 等 。 

然而 更 复杂 的 tepdump 参数 是 用 于 过 小 目的 , 这 是 因为 网 络 中 流量 很 大 ,如 采 不 加 分 准将 所 
有 的 数据 包 都 堆 留 下 来 ， 数 据 量 太 大 ， 反 而 不 容易 发 现 需要 的 数据 包 。 使 用 这 些 参数 定义 的 过 滤 
规则 可 以 截留 竺 定 的 数据 包 ， 以 缩小 目标 ， 才 能 更 好 地 分 析 网 络 中 存在 的 问题 。tcpdump 使 用 参 
数 指定 要 监视 数据 包 的 茯 型、 地址、 交口 等 ， 根 据 具 体 的 网 络 问 题 ， 欧 分 利用 这 些 过 波 规 则 残 能 
达到 迅速 定位 故障 的 目的 。 请 使 用 man tepdump 查看 这 些 过 滤 规 则 的 具体 用 法 。 

1. tcpdump 的 选项 介绍 


tcpdump 的 选项 非常 多 ， 下 面 给 出 一 些 党 用 的 命令 选项 供 谈 者 使 用 时 参考 。 
a a: 将 网 络 地 址 和 广播 地 址 转变 成 名 孚 。 

a -d: 将 匹配 信息 包 的 代码 以 人 们 能 够 理解 的 汇编 格式 给 出 。 

a -dd: 将 匹配 信息 包 的 代码 以 C 语言 程序 段 的 格式 给 出 。 

» -ddd: 将 匹配 信息 包 的 代码 以 十 进 制 的 形式 给 出 。 

a  -e: 在 输出 行 打印 出 数据 链 路 层 的 头 部 信息 。 

a -f: 将 外 部 的 Internet 地 址 以 数字 的 形式 打印 出 来 。 

: 使 标准 输出 变 为 缓冲 行 形式 。 

: 不 把 网 络 地 址 转换 成 名 字 。 
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a t: 在 输出 的 每 一 行 不 打印 时 间 戳 。 

a  -v: 输出 一 个 稍微 详细 的 信息 ， 例 如 在 I 了 P 包 中 可 以 包括 世 和 服务 类 型 的 信息 。 

a  -VV: 输出 评 细 的 报 文 信息 。 

a -c: 在 收 到 指定 的 包 的 数目 后 ，tcpdump NEZ fr IE. 

mn  -F: 从 指定 的 文件 中 读 取 表达 式 ， 忽 略 其 他 的 表达 式 。 

a ”-i: 指定 监听 的 网 络 接口 。 

a o r: 从 指定 的 文件 中 读 取 包 ( 这 些 包 一 般 通 过 -w 选项 产生 ) 。 

a  -W: 直接 将 包 写 入 文件 中 ， 并 不 分 析 和 打印 出 来 。 

a T: 将 监听 到 的 包 和 直接 解释 为 指定 类 型 的 报 文 ， 和 常见 的 类 型 有 RPC Ote EH) 
和 SNMP“〔 人 简单 网 络 管理 协议 )。 

2. tcpdump 的 表达 式 介绍 


表达 式 是 一 个 正则 表达 式 ，tcpdump 利用 它 作 为 过 滤 报 文 的 条 件 ， 如 来 一 个 报 文 满足 表达 式 
的 条 件 ， 则 这 个 报 文 将 会 被 捕获 。 如 果 没 有 给 出 任何 条 件 ， 则 网 络 上 上 所 有 的 信息 包 将 会 被 截获 。 
在 表达 式 中 一 般 有 以 下 几 种 类 型 的 关键 字 。 

第 一 种 是 关于 类 型 的 关键 字 , 主要 包括 host、net、port， 例 如 host 211.78.3.2, 指明 211.78.3.2 
是 一 台 主 机 ，net 210.0.0.0 指明 210.0.0.0 是 一 个 网 络 地 址 ，port 25 指明 端口 号 是 23。 如 果 没 有 指 
定 类 型 ， 默 认 的 类 型 是 host. 

第 二 种 是 确定 传输 方 问 的 关键 字 ， 主 要 包括 src、dst、dst or sre, dstand sre, XIE REFIR 
明了 传输 的 方 回 。 准 例 说 明 ，src 211.78.3.2， 指 明 IP 包 中 源 地 址 是 211.78.3.2，dst net 210.0.0.0 

利明 目的 网 络 地 址 是 210.0.0.0。 如 下 没有 指明 方 回 关键 学 ， 则 默认 是 dst 和 sre 关键 学 。 

第 三 种 是 协议 的 关键 字 ， 主 要 包括 fddi. ip. arp. rarp. tcp. udp 等 类 型 fddi 指明 是 在 FDDI 
《分 布 式 光纤 数据 接口 网 络 ) 上 的 特定 的 网 络 协议 ， 实 际 上 它 是 ether 的 别名 ，fddi 和 ether 具有 
类 似 的 源 地 址 和 目的 地 址 ， 所 以 可 以 将 fddi 协议 包 当 作 ether 的 包 进 行 处 理 和 分 析 。 其 他 的 几 个 
关键 学 束 是 指明 了 监听 的 包 的 协议 内 容 。 如 果 没 有 指定 任何 协议 ， 则 tcpdump 将 会 监听 所 有 协议 
的 信息 包 。 

除了 这 三 种 类型 的 关键 字 之 外 ， 其 他 重要 的 关键 字 如 下 : gateway. broadcast. less. greater. 
还 有 三 种 逻辑 运算 ， 取 非 运 算是 mot'，"1'， 与 运算 是 'and'，'&&'， 或 运算 是 'or', ' | | '。 这 些 关 键 
字 可 以 组 合 起 来 构成 强大 的 条 件 来 满足 人 们 的 需要 。 下 面 举 几 个 例子 来 进行 详细 说 明 。 

CIO 截获 所 有 211.78.3.2、 主 机 收 到 的 和 友 出 的 所 有 的 数据 包 : 

Ade c Sh Dl oe S I 

(2) 截获 主机 211.78.3.2 和 主机 211.78.3.3 或 211.78.3.4 的 通信 ， 使 用 命令 : 

idee oce si Noctu Co eo Ge d E SOT 

(3) 获取 除了 主机 211.78.3.2 和 主机 211.78.3.6 之 外 所 有 主机 通信 的 IP 包 ， 使 用 如 下 命令 : 

ME cC OMS MOS MMC OR OM quU 

(4) 获取 主机 211.78.3.1 接收 或 发 出 的 telnet 包 ， 使 用 如 下 命令 : 


人 












































365 


防线 


E Linu 安全 运 维 理念 和 实战 


366 


3. 查看 tcpdump 的 输出 结果 

由 于 tepdump 的 捕 包 功能 强大 ， 因 而 其 输出 也 是 非常 丰 曙 的。 下 面 我 们 介绍 儿 种 典型 的 
tepdump 命令 的 输出 信息 。 

CD. 奉 看 数据 链 路 层 头 信息 。 

使 用 如 下 命令 : 

ftcpdump --e host patterson 

patterson Æ — RA Linux 的 主机 ， 其 MAC 地 址 是 0:58:46:32:EF: AF, S Server t — RI 
有 SOLARIC 的 SUN 工作 站 , 它 的 MAC 地 址 是 7:43:25:98:6E:AF， 上 一 条 命令 的 输出 结果 如 下 : 


2 





apodo sons et rs MES wan MAG GEGEN 

4 WT: 23:49:35 是 显示 的 时 间 ，102598 是 ID 号 ，eth0 < 表示 从 网 络 接口 eth0 接收 该 数据 包 ， 
eth0 > 表示 从 网 络 接口 设备 发 送 数据 包 ，7:43:25:98:6e:af 是 主机 S. Server I) MAC 地址 ， 它 表明 
是 从 源 地 址 S Server 发 来 的 数据 包 ，0:58:46:32:ef:af 是 主机 patterson 的 MAC 地址， 表示 该 数据 
包 的 目的 地 址 是 patterson.ip， 表 明 该 数据 包 是 IP 数据 包 ，60 是 数据 包 的 长 度 ， 
S_Server.33357>patterson.telnet 表明 该 数据 包 是 从 主机 S. Server 的 33357 in L1 $E 3: patterson 
的 telnet (23) 端口 ，ack 22535 表明 对 序列 号 是 22535 的 包 进 行 啊 应 ，win 8760 表明 发 送 窗口 的 
大 小 是 8760。 

(2) ARP 包 的 tcpdump 输出 信息 。 

使 用 如 下 命令 : 

$tcpdump arp 

得 到 的 输出 结果 是 : 


Zo To ot > a who hao roure Eel ee ro om (059: 697 e fert.) 








A D 97079 eth0 - arp reply route is-at 人 
(or odo oT 

分 析 : 23:52:42 ÆR EER, 203783 是 ID 号 ，eth0 > 表明 从 主机 发 出 该 数据 包 ，arp 表明 是 
ARP 请 求 包 ，who-has route tell patterson 表明 是 主机 patterson 请 求 主 机 route 的 MAC 地 址 ， 
0:58:46:32:ef:af 是 主机 patterson 的 MAC HEHE. 

(3) TCP 包 的 输出 信息 。 

用 tcpdump 捕获 的 TCP 包 的 一 般 输 出 信息 是 : 

we Sot Ea oma So a ow rr OpEIONS 

src > dst 表明 从 源 地 址 到 目的 地 址 , flags 是 TCP 包 中 的 标志 信息 , S 是 SYN 标志 , F (FIN)， 
P (PUSH) ，R (RST) ，“.” (没有 标记 ) 。data-seqno 是 数据 包 中 的 数据 的 顺序 号 。ack 是 下 
次 期 望 的 顺序 号 。window 是 接收 缓存 的 窗口 大 小 。urgent 表明 数据 包 中 是 否 有 紧急 指针 。Options 
是 选项 。 

(4) UDP 包 的 输出 信息 。 

用 tepdump 捕获 的 UDP 包 的 一 般 输 出 信息 是 : 


ee Cn ed OT i le el 


























Ax AXES 
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UDP 十 分 简单 , 上 面 的 输出 行 表明 从 主机 route 的 portl 端口 发 出 的 一 个 UDP 数据 包 到 主机 
patterson 的 port2 mO, XW UDP, THE BE; length. 


ETE 网 络 流量 分 析 一 -NTOP 


12.5.1 NTOP 介绍 








MRTG 基于 SNMP 协议 获取 信息 ， 对 于 交口 的 流量 ，MRTG 能 提供 精确 统计 ， 但 对 于 三 层 
以 上 的 信息 则 无 从 得 知 了 ， 而 这 正 是 NTOP 的 强项 。NTOP 能 够 显示 网 络 的 使 用 情况 ， 它 能 够 显 
示 正 在 使 用 网 络 的 主机 并 报告 每 个 主机 发 送 和 接收 流量 的 信息 。 NTOP 能 作为 一 个 前 端 数据 收集 
器 工作 CsFlowand/or netFlow) , 或 者 作为 一 个 单独 的 既 能 收集 又 能 显示 的 程序 工作 。 查 看 NTOP 
收集 的 信息 ， 需 要 一 个 浏览 器 。NTOP 工作 在 第 二 层 和 第 三 层 ， 默 认 使 用 MAC 地 址 和 IP 地 址 。 
NTOP 能 把 两 者 关联 起 来 , 这 样 束 能 够 在 网 络 活动 图 示 里 和 面 同时 显示 IP 和 非 IP 流量 (例如 : ARP 
MI RARP) 。NTOP 和 MRTG 相 比 其 安装 配 置 简单 。 目 前 市 场 上 可 网 管 型 的 交换 机 、 路 由 器 都 文 
持 SNMP 协议 ，NTOP 文 持 简单 网 络 管理 协议 ， 所 以 可 以 进行 网 络 流量 监控 。NTOP 几乎 可 以 监 
测 网 络 上 的 所 有 协议 : TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、Decnet、DHCP-BOOTP、 
AppleTalk, Netbios, TCP/UDP, FTP、HTTP、DNS、SMTP/POP/IMAP、SNMP、NNTP、NFS、 
Xll. SSH 和 基于 P2P 技术 的 协议 eDonkey, Overnet, Bittorrent, Gnutella, Kazaa, E, 

NTOP LH- tepdump 或 Ethereal 工具 有 极 大 的 差异 ， 它 主要 是 提供 网 络 报 文 的 统计 数据 ， 
而 不 是 报 文 的 内 容 。 此 外 ，NTOP 不 需要 使 用 Web 服务 器 ， 它 自身 就 支持 HTTP 协议 。 首 先 它 
提供 了 一 种 快速 容易 的 方法 来 得 到 网 络 活动 的 准确 信息 并 且 不 使 用 网 络 探测 或 侦 听 设备 .在 大 多 
数 情况 下 ， 网 络 探测 器 对 追 踩 网 络 故障 是 必需 的 。 但 是 在 某 些 情况 下 ， 时 间 是 很 宝贵 的 ， 那 么 在 
因为 探测 器 正 被 使 用 于 监测 其 他 设备 而 无 法 获得 时 ， 束 可 以 使 用 NTOP 工具 。 其 次 , 在 某 些 给 定 
的 网 络 配 置 下 ， 不 可 能 与 探测 器 连接 ， 比 如 一 对 通过 WAN 互 连 的 UNIX 系统 。 在 这 种 情况 下 ， 
当 使 用 探测 器 可 能 很 困难 时 ， 如 果 可 能 ， 用 户 应 使 用 NTOP LR. 

一 般 来 襄 ，NTOP 主要 提供 以 下 一 些 功 能 。 

a 自动 从 网 络 中 识别 有 用 的 信息 。 

a 将 截获 的 数据 包 转 换 成 易于 识别 的 格式 。 

a ”对 网 络 环 境 中 通信 失败 的 情况 进行 分 析 。 

» 探测 网 络 环境 中 的 通信 瓶 领 。 

a ”记录 网 络 通信 的 时 间 和 过 程 。 

NTOP 可 以 通过 分 析 网 络 流量 来 确定 网 络 上 存在 的 各 种 问题 ; 也 可 以 用 来 判断 是 否 有 黑客 正 
在 攻击 网 络 系统 ; 还 可 以 很 方便 地 显示 出 特定 的 网 络 协 议 、 占 用 大 量 带宽 的 主机 、 各 次 通信 的 目 
标 主机 、 数 据 包 的 发 送 时 间 、 传 递 数据 包 的 延 时 等 详细 信息 。 通 过 了 解 这 些 信息 ， 网 络 管理 员 可 
以 对 故障 做 出 及 时 的 响应 ， 对 网 络 进行 相应 的 优化 调整 ， 以 保证 网 络 运行 的 效率 和 安全 。 


12.5.2 ”安装 NTOP 





















































































































































和 MRTG 相 比 ，NTOP 的 安装 配置 更 简单 ， 可 以 不 使 用 Apache 服务 器 。 将 NTOP 安装 在 网 
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络 管理 工作 站 上 ， 监 测 中 、 小 Linux 异 构 网 络 的 网 络 性 能 非常 方便 。 

在 安装 NTOP 之 前 ， 首 先 需 要 到 http://downloads.sourceforge.net/NTOP/NTOP-3.3.8.tar.gz 下 
载 NTOP 最 新 的 源 代码 ， 再 到 ftp://ftp.rediris.es/sites/ftp.redh...6.2-12.1386.rpm 下 载 相 关 库 函数 模 
块 Libpcap。 注 意 : 必须 先 安装 Libpcap 软件 包 后 才能 安装 NTOP， 具 体 的 安装 步 又 如 下 。 

(1) 安装 Libpcap 抓 包 软 件 包 : 

duco ci vdo bas egsxelctor e eroi dA ol 59! ers i6 | out 

(2) 解压 NTOP 包 : 


Jo MO re S eo Caa 











POA NA ON 

(3) 生成 Makefile 文件 : 

#./configure 

(4) 配 置 NTOP 时 , 系统 会 提示 先 编译 gd 和 zlib 模块 。 编 译 完 gd 和 zlib 模块 , 再 回 到 NTOP 
EK PENE ZR: 


Eee ere le AS P. 





#cp scripts/makefile.linux Makefile 
#make 

A E rA e E 

*t./configure 

#make 

kodna 

#make 

mod OP 

imake 

make install 

(5) 建立 NTOP 软件 需要 的 log 目录 和 存储 日 志 : 
NE 

(6) 以 上 都 完成 后 ， 束 可 以 月 动 NTOP T: 


SNTOP -P /var/log/NTOP/ -u nobody & 


12.5.3 使 用 NTOP 





NTOP 支持 简单 网 络 管理 协议 (Simple Network Management Protocol, SNMP) ， 并 把 PNG 
格式 的 图 形 以 HTML 的 方式 显示 出 来 ， 便 于 网 络 管 理 员 对 所 监控 的 网 络 设备 (交换 机 、 足 由 器 
等 ) 进行 管理 。 

打开 浏览 器 ， 在 地 址 栏 中 输入 http://host ip:3000〈“ 了 了 ”就 是 安装 NTOP 的 那 台 网 络 管理 工 
作 站 的 IP 地 址 ) ， 即 可 打开 NTOP 管理 界面 。 第 一 次 运行 时 会 要 求 输入 管理 员 的 密码 ， 预 设 密 
公 是 “admin”， 第 二 次 局 动 时 束 不 用 再 输入 了 。 

通过 使 用 NTOP，, 我 们 可 以 在 浏览 器 界面 下 看 到 许多 有 关 网 络 流量 的 统计 和 分 析 信 息 。 下 面 
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网 络 管理 员 在 进行 网 络 流量 分 析 的 初始 ， 考 虑 的 大 多 是 宏观 的 网 络 整 体 流量 情况 ， 因 此 ， 
NTOP 首先 提供 了 查看 网 络 整体 流量 的 功能 。 在 NTOP 的 浏览 器 界面 中 ， 查 看 网 络 整 体 流量 先 切 
换 到 Stats 选项 卡 ， 然 后 单 击 Traffic 选项 。 网 络 流量 会 以 明细 表格 的 形式 显示 出 来 ， 如 图 12-10 
所 示 。 另 外 ， 网 12-11 和 图 12-12 分 别 向 网 络 管理 员 显 示 了 网 络 流量 中 协议 的 整体 分 布 情况 ， 以 
及 最 常见 的 传输 层 协议 TCP 和 UDP 的 分 布 情况 ， 这 些 可 以 为 网 络 管理 人 员 的 统计 、 分 析 和 审核 
工作 提供 强 有 力 的 参考 依据 。 








Global Traffic Statistics 


















































Name Device | Type Speed Sampling Rate MTU Header Address X IPv6 Addresses 
Device NPF.- | 
Network Interface(s) | (0CAE5382- | 
—— ABA2-439E- Ethernet 0 1514| 14  |192.168.0.254 
AB0A6295C994)- | 
Sampling Since Wed Oct 29 11:32:53 2008 [2:11] 
Active End Nodes 43 A 








图 12-10 Global Traffic Statistics 示意 图 


Global Protocol Distribution 





Protocol Data Percentage 











TCP |122.1 KBytes|55.9% 









































IP 218.3 KBytes| 67.6% ||UDP 96.0 KBytes |44.090| ER 
IGMP 0.2KBytes | 096 

(R)ARP 29 KBytes | 1.3%|! 

IPX 68.5 KBytes | 21.2% | m 

STP 1.9 KBytes 0% 

Other 0.6 KBytes 096 | 





iD i 
QU.V 

















| 12-11 Global Protocol Distribution 示意 网 
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Global TCP/UDP Protocol Distribution 


Accumulated Percentage / Historical 








TCP/UDP Protocol. Data Flows Protocol View 
. 
a 
1.0 
4n 08 
i 
HTTP 4.4 KBytes 0| 2.095 T EM 
T Q 
0.2 
0.0 4— x 
00:00 02:00 04:00 08:00 08:00 10:00 
BHTTP Min:O.0 Max: 1.1 Avg: 634.0m Last: 0.0 


pAnomalia Upper OLower wW Trend (30 min) 


2.0 | 
4n 


图 12-12 Global TCP/UDP Protocol Distribution 示意 图 





网 络 管理 员 在 查看 了 网 络 整体 流量 信息 的 前 提 下 , 第 二 步 一 般 是 进一步 分 析 网 络 中 主机 的 流 

量 情况 ， 确 定 网 络 中 的 用 户 行 为 ， 从 而 进行 安全 审计 、 流 量 限制 等 方面 的 工作 。 在 NTOP rp, i 
想 查 看 有 具体 节点 计算 机 的 网 络 流量 ， 切 换 到 IP Traffic 选项 卡 ， 然 后 单 击 Host 选项 即 可 。 

a ”监测 主机 使 用 的 网 络 协议 : 如 图 12-13 所 示 ， 网 络 管理 员 可 以 清楚 地 看 到 网 络 中 每 一 台 

主机 针对 FTP, HTTP. DNS 等 主要 网 络 协议 的 使 用 情况 ， 包 括 主机 的 IP XXE. RUE 


Network Traffic [TCP/IP]: All Hosts - Data Sent*Received 

















Hosts: [ All ] [ Local Only ] [ Remote Only ] Data: [ All ] [ Sent Only ] [ Received Only ] 
Host Domain Data =] FIP| HTIP DNS  |Telnet| NHBios-IP Mail 
192.168.0.254 131.6 KBytes|31.0 %2|  0/|4.4 KBytes | 2.3 KBytes 0/8.7 KBytes|112.3 KE 
En JJ .63 1.7 KE 
159.226.40.9 [x] 74.7 KBytes|17.6 %2) U ü ü ü ü| 74.7 KB 
192.168.0.253 71.2 KBytes|16.8 99| D ü ü 0 0 
192.168.0.5 71.2 KBytes|16.8 %2) U ü ü 0 0 
E 37.6 | | 58,38 f: , 
202.108.5.100 [x] 37.6 KBytes| 8.9 %2) O0 0 0 ü 0| 37.6 KB 
` [NetBIOS] 4.0 KBytes| 0.9 95 ü ü ü 03.8 KBytes 
gy 3. wte: PE 
207.46.109.48 [x] 3.7 KBytes| 0.9 95| Ü ü ü ü ü 
192.168.0.123 3.0 KBytes| 0.7 %| 0 ü ü 03.0 KBytes 
192.168.0.240 2.8 KBytes| 0.7 % Ü ü ü 01.5 KBytes 


a e 2.3 KBytes| 0.5%] 0 0|2.3 KBytes| — Q0 0 
192.168.0.124 2.2KRvtes| MN.5%m| n n n| — ni.6KRvtes 
图 12-13 Network Traffic 示意 图 
a ”查看 网 络 流量 的 方向 : NTOP 可 以 把 网 络 主机 中 的 详细 出 入 网 络 的 流量 统计 和 显示 出 
来 。 这 使 得 网 络 管理 员 可 以 更 加 清楚 地 了 解 网 络 中 主机 用 户 的 网 络 行为 ， 为 后 续 的 授 
躁 、 审 计 和 流量 限制 提供 了 重要 信息 ， 如 图 12-14 所 示 。 
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Remote to Local IP Traffic 


Host [*] IP Address Data Sent Data Rcvd 
7d048c9944a6409 [NetBIOS] 192.168.0.23 3.7 KBytes 20.0 96 0 0.0 96 
china-cc6fe71eb [NetBIOS] 192.168.0.236 243 1.3 96 0 0.0 96 
lenovo-fa52b8ff [NetBIOS] 192.168.0.234 252 1.3 96 0 0.0 96 

[NetBIOS] 192.168.0.171 247 1.3 % 0 0.0 96 
. [NetBIOS] 192.168.0.78 683 3.6 96 0 0.0 96 
[NetBIOS] 192.168.0.242 243 1.3 96 0 0.0 % 
192.168.0.37 192.168.0.37 1.1 KBytes 5.8 96 0 0.0 % 
192.168.0.57 192.168.0.57 1.1 KBytes 5.9 96 0 0.0 96 
192.168.0.120 192.168.0.120 92 0.0 96 0 0.0 96 
192.168.0.123 192.168.0.123 3.0 KBytes 16.0 96 0 0.0 96 
192.168.0.133 192.168.0.133 92 0.0 96 0 0.0 96 
192.168.0.209 192.168.0.209 7.9 KBytes 42.6 96 0 0.0 % 
Total Traffic Data Sent Data Rcvd Used Bandwidth 
18.6 KBytes 18.6 KBytes 0 1.2 Kbit/s 


图 12-14 Remote to Local IP Traffic 示意 图 
a ”查看 网 络 主 机 数量 和 基本 统计 : NTOP 还 具有 








Statistics 

Scanner (fddfiiz&O 的 功能 ， 它 能 迅速 地 扫描 到 | 

网 络 中 的 所 有 活动 主机 ， 如 图 12-15 所 示 。 — aiiud - 
Lass; 
总 而 言 之 ， 通 过 上 和 面 的 分 类 讲解 我 们 不 难看 出 ， 通 No fingerprint 55 
、 W dpi à y roadca: 

过 使 用 NTOP， 我 们 能 够 对 所 有 进出 网 络 的 数据 做 到 了 -a 1 
如 指 掌 ， 并 且 能 够 进行 非常 详细 的 网 络 流量 分 析 工 作 。 Remote : 
因此 ， 不 管 是 用 来 监测 网 络 ， 还 是 用 来 制作 网 络 情况 报 Mon 1P host 0 
He BOUE 都 是 非 划 优秀 的 工具 。 Possible to er Ü 
Less: Can not resolve" Ü 


Less: Unknown Fingerprint" Ü 


图 12-15 Host Statistics 示意 图 


量 限制 一 一 TC 技术 





12.6.1 TC (Traffic Control ) 技术 原理 


Linux 从 kernel 2.1.105 开始 文 持 QoS (服务 质量 ), 不 过 需要 重新 编译 内 核 。 具体 步 又 如 下 。 

= ”运行 make config 命令 时 ， 将 EXPERIMENTAL OPTIONS 选项 设置 为 y。 

= ”将 Class Based Queueing (CBQ)、Token Bucket Flow. Traffic Shapers 选项 设置 为 y。 

= ”运行 make dep. make clean, make bzimage， 生 成 新 的 内 核 。 

在 Linux 操作 系统 中 流量 控制 器 (TC) 主要 是 在 输出 端口 处 建立 一 个 队列 进行 流量 控制 ， 
控制 的 方式 是 基于 路 由 ， 亦 即 基于 目的 IP 地 址 或 目的 子 网 的 网 络 号 的 流量 控制 。 流量 控制 右 TC 
其 基本 的 功能 模块 为 队列 、 分 类 和 过 小 占 。Linux 内 核 中 文 持 的 队列 有 Class Based Queue, Token 
Bucket Flow, CSZ, First In First Out、Priority、TEQL、SFQ、ATM、RED。 由 于 目前 网 络 流 量 
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种 类 演 多 ， 网 络 管理 员 在 管理 时 通 弟 都 采用 分 类 的 方式 进行 ， 因 此 ， 下 面 所 介绍 的 队列 与 分 类 都 
是 基于 CBQ (Class Based Queue) 的 ， 而 过 滤器 是 基于 路 由 Route) 的 ， 其 他 的 分 类 方式 和 过 
滤器 使 用 方式 请 参看 相关 的 技术 文献 。 

配置 和 使 用 流量 控制 右 TC， 主 要 分 以 下 几 个 方面 : 建立 队列 、 建 并 分 类 、 建 并 过 小 右 和 建 
并 路 由 ， 男 外 还 逢 要 对 现 有 的 队列 、 分 类 、 过 小 右 和 路 由 进行 监视 。 

其 基本 使 用 步骤 如 下 。 

(1) 针对 网 络 物理 设备 绑 定 一 个 CBQ 队列 。 

(2) 在 该 队列 上 建立 分 类 。 

(3) 为 每 一 分 类 建立 一 个 基于 路 由 的 过 滤器 。 

(40 与 过 小 器 相配 合 ， 建 立 特 定 的 路 由 表 。 


12.6.2 使 用 Linux TC 进行 流量 控制 实例 



































1. 实例 环境 及 拓扑 


在 一 个 局 域 网 中 ， 如 图 12-16 所 示 ， 我 们 设 定 流量 控制 器 上 的 以 太 网 卡 (设备 名 为 eth0) 的 
IP 地 址 为 10.172.4.66， 在 其 上 建立 一 个 CBQ 队列 。 假 设 包 的 平均 大 小 为 IKB， 包 间隔 发 送 单元 








的 大 小 为 8B， 可 接收 冲突 的 及 壕 最 长 包 数 目 为 20B。 


i 子 网 : 
| b 10.172.4.0 











图 12-16 Linux TC 流量 控制 示意 图 

假如 有 以 下 三 种 类 型 的 流量 需要 控制 。 

CD 发 往 主机 1 的 流量 ， 其 IP 地 址 设 定 为 10.172.4.138。 其 流量 带宽 控制 在 500Mb/s， 优 先 
级 为 2。 

(2) 发 往 主机 2 的 流量 ,其 IP 地 址 为 10.172.4.141。 其 流量 带宽 控制 在 200Mb/s， 优 先 级 为 1。 

(3) 发 往 子 网 1 的 流量 ， 其 子 网 号 为 10.172.4.0， 子 网 掩 码 为 255.255.255.0。 其 流量 带宽 控 
制 在 300Mb/s， 优 先 级 为 6。 

那么 ， 根 据 上 面 的 实例 条 件 ， 我 们 可 以 采用 以 下 步骤 进行 TC 配置 和 控制 。 

2. 绑 定 CBQ 队列 


一 般 情 况 下 ， 针 对 一 个 网 卡 只 需 建 立 一 个 队列 。 
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将 一 个 CBG 队列 绑 定 到 网 络 物理 设备 eth0 上 ， 其 编号 为 1:0; 网 络 物理 设备 eth0 的 实际 带 
WA 1000Mb/s， 包 的 平均 大 小 为 1000B; 包间 陋 发 送 单元 的 大 小 为 8B， 最 小 传输 包 大 小 为 64B。 
teo odi cell lel Oe ear oO mM Eee Tec OO el 


8 mpu 64 

3. 为 队列 建立 分 类 

分 类 建立 在 队列 之 上 。 一 般 情 况 下 ， 针 对 一 个 队列 需 建 立 一 个 根 分 类 ， 然 后 再 在 其 上 建立 子 
分 类 。 对 于 分 类 ， 按 其 分 类 的 编号 顺序 起 作用 ， 编 号 小 的 优先 ; 一 旦 符合 某 个 分 类 匹配 规则 ， 通 
过 该 分 类 发 送 数据 包 ， 则 其 后 的 分 类 不 再 起 作用 。 

(1) 创建 根 分 类 E, 4 BUTS EAN 10000Mb/s 优先 级 别 为 8。 


el se oe ee as emt sre sou delectet OM E dee QUINTI 














Tce to a t 2 0ra lkor le le E OOT erede seio ane etit OTI Sis 

该 队列 的 最 大 可 用 市 宽 为 1000Mb/s, KERCA T EA 1000Mb/s， 可 接收 冲突 的 发 送 最 长 
数目 为 20B; 最 大 传输 单元 加 MAC 头 的 大 小 为 1314B, 优先 级 别 为 8, 包 的 平均 大 小 为 1000B， 
间 陋 发 送 单元 的 大 小 为 8B， 相 应 于 实际 市 宽 的 加 权 速 率 为 100Mbs。 

(2) 创建 分 类 1:2， 其 父 分 类 为 1:1， 分 配 带宽 为 S00Mb4s， 优 先 级 别 为 2。 


Ce le le ee pm ee si elassqche2sobedasmncwctnmu)ggoMsrtesabes)0MbiE 








包 
包 


| 
该 队列 的 最 大 可 用 带宽 为 1000Mb/s， 实 际 分 配 的 带宽 为 500Mb/s， 可 接收 冲突 的 发 送 最 长 
包 数 目 为 20 字 节 ;最 大 传输 单元 加 MAC 头 的 大 小 为 1314B， 优 先 级 别 为 1， 包 的 平均 大 小 为 
1000B， 包 间 陋 发 送 单元 的 大 小 为 8B， 相 应 于 实际 之 宽 的 加 权 速 康 为 SO0Mb4s， 分 类 的 分 离 点 为 
1:0， 且 不 可 借用 未 使 用 市 宽 。 
(3) 创建 分 类 1:3， 其 父 分 类 为 1:1， 分 配 融 宽 为 200Mb/s， 优 先 级 别 为 1。 


TeC eac ll ee el e o aS lll OM ee 0 0M 
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该 队列 的 最 大 可 用 带宽 为 1000Mb/s， 实 际 分 配 的 带宽 为 200Mb/s， 可 接收 冲突 的 发 送 最 长 
数目 为 20B; 最 大 传输 单元 加 MAC 头 的 大 小 为 1514B, 优先 级 别 为 2, 包 的 平均 大 小 为 1000B， 
间隔 发 送 单元 的 大 小 为 8B， 相 应 于 实际 带宽 的 加 权 速 率 为 20Mb/s， 分 关 的 分 离 点 为 1:0。 

(4) 创建 分 类 1:4， 其 父 分 类 为 1:1， 分 配 带 宽 为 300Mb/s， 优 先 级 别 为 6。 


Ce | cool re me er Lo la ll A lw el OM ee NOME 
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该 队列 的 最 大 可 用 帝 宽 为 1000Mb/s， 实 际 分 配 的 剖 宽 为 300Mb/s， 可 接收 冲突 的 发 送 最 长 
数目 为 20B; 最 大 传输 单元 加 MAC 头 的 大 小 为 1514B, 优先 级 别 为 1, 包 的 平均 大 小 为 1000B， 
间隔 发送 单元 的 大 小 为 8B， 相 应 于 实际 市 宽 的 加 权 速 率 为 30Mbs， 分 闫 的 分 离 点 为 1:0。 

4. 建立 过 滤器 

过 小 如 主要 服务 于 分 类 。 一般 只 需 针 对 根 分 类 提供 一 个 过 滤 需 ， 然 后 为 每 个 子 分 闫 提供 路 由 
HS. 

(1) IH ty 2888384 CBQ 队列 的 根 , 父 分 类 编写 为 1:0; 过 涯 协议 为 P, 优先 级 别 为 100, 








包 
包 
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(20 ERARIK 1:2、1:3、1:4。 
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5. 建立 与 过 滤器 对 应 的 路 由 


该 路 由 是 与 前 面 所 建立 的 路 由 映射 一 一 对 应 的 。 

CD 发 往 主 机 10.172.4.138 的 数据 包 通 过 分 类 2 转发 (分 类 2 的 速率 为 500Mb/s) 。 

tior ronce a cce oue soc coh sug ad eee 

(20 发 往 主机 10.172.4.30 的 数据 包 通 过 分 类 3 转发 (分 类 3 的 速率 为 200Mb/s) 。 

本 下 全 机 ee 

(3) 发 往 子 网 10.172.4.0/24 的 数据 包 通 过 分 类 4 转发 〈 分 类 4 的 速率 为 300Mb/s) 。 

fip route add 10.172.4.0/24 dev ethO via 10.172.4.66 realm 4 

在 配置 路 由 时 特别 值得 注意 的 是 : 一 般 对 于 流量 控制 器 所 直接 连接 的 网 段 建 议 使 用 IP 主机 









































地 址 流量 控制 限制 ,不 要 使 用 子 网 流量 控制 限制 。 如 采 一 定 需要 对 百 连 子 网 使 用 子 网 流量 控制 限 
制 ， 则 在 建立 该 子 网 的 路 由 映射 前 ， 需 将 原先 由 系统 建立 的 路 由 删除 ， 才 可 完成 相应 的 步骤。 














6. 对 上 述 建立 的 机 制 进行 查看 

主要 包括 对 现 有 队列 、 分 类 、 过 渡 冀 和 路 由 的 状况 进行 全 看 。 
(1) 显示 队列 的 状况 。 

简单 显示 指定 设备 《这 里 为 eth0) 的 队列 状况 : 


ftc qdisc ls dev etho 








Ge el sees cb ML te il dS T eC TO TNI OS DIOE qa RU TES 
详细 显示 指定 设备 (这 里 为 eth0) 的 队列 状况 : 

ec -s qdisc ls dev ethO 
本 
Pent 和 


Donbcouwcd) ovedceu omes amare uc ames 


这 里 主要 显示 了 通过 该 队列 发 送 了 13232 žE., Zw 764673]B. EA WEAŽ H 





为 0， 超过 速率 限制 的 包 效 目 为 0。 


(2) 显示 分 类 的 状况 。 
简单 显示 指定 设备 (这 里 为 eth0) 的 分 类 状况 ; 


#tc class ls dev eth0 





下 


四] 
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详细 显示 指定 设备 (这 里 为 eth0) 的 分 类 状况 : 

peor a lc el 

ola ie 

Oen A eS Dc le (oo ose imi ea O 

lonnowedoverdcetrtonmse0awvogmvehkee el ens, 

ce en parcie ie era Eee IA eT Eds HEISE 

Sent 16627774 bytes 28884 pkts (dropped 0, overlimits 0) 

borrowed 16163 overactions O0 avgidle 587 undertime O0 

puis scie VN Eu cms uso tc DID ODE OO 

SOT EO Ob LE o 1 (p sss cse pec aea TTE S) 

SerroOwWeC overaee neon 0 sre nol ime T 

el Goo | ern 

Sent O sre sis uo edu vc rl 

borrowed 0 overactions O0 avgidle 159654 undertime O0 

okaso a ba ic deam emss eot: bd SOT OS 

Seni MN EA cm onpecdeg oues dm s» 

DOr roned TO cowvergaceprons ll 59559 cumdertszmevw 

这 里 主要 显示 了 通过 不 同 分 类 发 送 的 数据 包 、 数 据 流量 、 丢 弃 的 包 数 目 、 超 过 速率 限制 的 包 
数目 ， 等 等 。 其 中 根 分 类 (class cbq 1:0) 的 状况 应 与 队列 的 状况 类 似 。 

例如 ， 分 类 class cbq 1:4 发 送 了 9354 个 数据 包 、 数 据 流量 为 5934679B、 丢 弃 的 包 数 目 为 0、 
超过 速率 限制 的 包 数 目 为 0。 

(3) 显示 过 滤 右 的 状况 : 


ES 




















[undc qe ou TD IE Teo Oro dese To SOT ONES 

le Tl pre r ue ome cbe Pb o WoW ento o 
EN e ra er aE OEO COO Te pre e OON outs bester uU aT rOn ee s ust o S 
le oare nEn Epron C o T oree NOOT oE tt DD SEO wor lA 
这 里 flowid 1:2 代表 分 类 class cbq 1:2, to 2 代表 通过 路 由 2 发 送 。 

(4) 显示 现 有 路 由 的 状况 : 


dip route 





T0. 17224.60- dev ethü scope Li 
TOSd 42d 158 voa vui GO Ge SE ses Z 


10,.172.4.30 via 10,.172.4.66 dev erno realm 3 
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dertaulr via 10,.172.4.,254 cey cec 
7. 队列 、 分 类 、 过 滤器 及 路 由 维护 


上 面 我 们 通过 一 个 完整 的 例子 示意 了 使 用 Linux 的 TC 进行 流量 控制 的 全 过 程 。 不 难看 出 ， 
该 技术 主要 包括 如 上 5 步 。 而 在 日 常 的 网 络 管理 过 程 中 ， 网 管 员 还 需要 对 TC 的 队列 、 分 类 、 过 
滤 磺 和 路 由 进行 相应 的 增添 、 修 改 和 删除 等 操作 ， 以 保证 流量 控制 能 够 因 时 、 因 地 、 因 应 用 制 宜 。 
可 能 用 到 的 相应 命令 如 下 。 

= tc class add 命令 : 添加 分 类 。 

= tc class change 命令 : 修改 分 类 。 

a tcfilter add 命令 : 添加 过 滤器 。 

m tc filter change MẸ: 修改 过 小 化 。 

m tc filter del 命令 : JURE -o 

=  iproute add 命令 : 添加 与 过 滤 右 对 应 的 路 由 。 

=  iproutechange MẸ: 修改 与 过 泪 右 对 应 的 路 由 。 

»  iproute del 命令 : 删除 与 过 涯 右 对 应 的 路 由 。 

其 体 的 用 法 和 例子 在 此 处 不 再 一 一 给 出 ， 请 参看 详细 的 技术 文献 进行 对 照 使 用 。 


























络 流 量 管理 的 策略 





12.7.1 网 络 流 量 管理 的 目标 


随 看 网 络 流量 的 不 断 增 长 以 及 网 络 应 用 的 日 趋 纷 繁复 杂 化 , 我 们 不 难看 到 , 人 简单 地 无 限制 增 
加 网 络 带 宽 是 不 能 解决 网 络 流量 的 根本 问题 的 。 我们 需要 对 网 络 流量 进行 管理 ， 从 而 保证 网 络 的 
健康 和 网 络 应 用 的 正 第 服务 。 在 网 络 流量 管理 的 过 程 中 ,我 们 首要 的 问题 就 是 要 明确 网 络 管理 的 
目标 。 在 网 络 诉 量 管理 中 ， 我 们 需要 牢记 以 下 四 个 目标 : 

a 要 了 解 网 络 流量 的 使 用 情况 。 

ma ”要 找到 优化 网 络 性 能 的 途径 。 

a 要 通过 网 络 管理 技术 来 提升 网 络 效能 。 

a 需要 做 好 网 络 流量 信息 安全 方面 的 防护 工作 。 

有 具体 来 说 ,要 达到 上 述 四 个 目标 ,网 络 管理 员 首 先 可 以 通过 有 效 的 分 类 方式 非常 明确 地 知道 
我 们 需要 的 市 宽 到 撒 哪 些 是 实际 使 用 的 。 网 络 流量 管理 的 第 二 个 目标 是 找到 网 络 性 能 的 瓶 贷 。 网 
络 性 能 很 重要 的 一 个 方面 是 吞吐 量 ， 这 是 网 络 能 够 传输 的 最 大 数据 量 ， 还 有 延 开 等 。 第 三 ， 通 过 
本 章 所 介绍 的 流量 监控 及 控制 软件 可 以 高 效 地 提升 网 络 性 能 ， 从 而 满足 不 同 的 网 络 应 用 需求 。 最 
后 , 网 络 管理 员 还 可 以 综合 运用 入 侵 检测 系统 (IDS)、 防火 墙 (FireWall)、 统一 威胁 管理 (UTM) 




































































举重 苦 轻 ， 企 业 网 络 流量 安全 管理 DM 











设备 来 对 网 络 流量 进行 信息 安全 方面 的 防护 工作 。 当 然 ， 信 息 安 全 方面 的 工作 不 是 本 章 介 绍 的 苍 
了 时， 在 这 里 不 作 过 多 介绍 。 


12.7.2 ”网 络 流量 管理 的 具体 策略 


在 日 常 的 网 络 流 量 管理 中 ， 为 了 有 效 实现 网 络 管理 的 四 个 目标 ， 我 们 需要 采取 相应 的 步骤 。 
这 个 步骤 分 别 是 : 网 络 流量 捕捉 和 分 类 、 网 络 流量 监视 〈 统 计 和 分 析 ) 和 控制 策略 。 

a 网络 流 量 捕捉 和 分 类 。 这 是 进行 网 络 流量 管理 的 第 一 步 。 只 有 通过 议 置 捕捉 点 ， 对 网 
络 沈 量 进行 捕 提 和 分 类 ， 才 能 进行 后 续 的 分 析 和 控制 工作 。 这 里 特别 需要 强调 的 是 ， 
网 络 流量 分 类 可 以 宏观 化 , 也 可 以 细 化 。 比 如 TCP、UDP、ICMP 等 的 分 类 就 比较 宏观 ， 
而 HTTP. FTP 甚至 是 诸如 Kazza、Skype 等 P2P 流量 的 分 类 和 识别 就 比较 细 化 了 。 本 
革 介 绍 的 Wireshark 和 tepdump 软件 目前 看 重 的 是 宏观 流量 的 捕捉 和 分 类 ， 具体 细 化 的 
内 容 管理 员 可 以 参看 相关 的 资料 获得 。 

a 网络 流 量 监视 〈 分 析 ) 。 监 视 步 又 用 来 显示 流量 的 运行 状况 ， 帮 助 找 出 问题 所 在 和 的 
行 相应 的 管理 策略 。 应 用 程序 和 网 络 管 理 能 够 收集 分 类 、 展 示 和 收集 信息 ， 包 括 带 宽 
利用 这 、 活 跃 的 主机 和 网 络 效率 以 及 活跃 的 应 用 程序 。 我 们 的 设备 能 够 跟踪 平均 和 噩 
信息 的 流量 ， 识 别 最 大 的 用 户 和 应 用 程序 ， 将 网 络 流量 定位 到 不 同 的 领域 ， 从 应 用 的 
角度 监视 网 络 流量 ， 分 析 网 络 带宽 明确 的 关键 问题 所 在 。 用 统计 报表 来 进行 表现 。 访 
目标 可 以 采用 本 章 所 介绍 的 NTOP 可 视 化 分 析 管 理工 具 来 协助 网 络 管理 员 在 实际 工作 
中 实现 。 

a 控制 策略 。 通 过 网 络 流量 分 机 后 ， 接 下 来 根据 优先 级 别 分 配 市 宽 资 源 。 分 配 的 依据 可 
以 根据 主机 、 应 用 ， 等 等 ， 特 别 需要 考虑 的 是 将 消耗 资源 的 P2P 程序 或 者 音 视频 下 载 
等 进行 清 后 考虑 。 用 户 可 以 根据 本 章 所 介绍 的 TC 工具 来 进行 和 实现 一 个 完整 的 分 类 监 
视 和 控制 网 络 流 量 ， 这 样 ， 我 们 就 可 以 将 网 络 流量 有 效 管理 起 来 ， 将 原来 无 序 的 网 络 
流量 变 得 有 序 起 来 。 
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防火 墙 一 直 是 信息 安全 领域 的 标志 性 产 
品 ， 它 可 以 在 网 络 层 甚至 是 目前 的 应 用 层 来 
对 悉 意 流量 进行 封 堵 ， 从 而 保证 企业 网 及 其 
服务 的 安全 , 在 Linux 领域 , Netfilter/Iptables 
防火 墙 框架 比较 成 熟 ，500 强 企 业 完全 可 以 
采用 该 框架 来 进行 企业 防护 。 

当然 ， 防 火 墙 的 部 署 和 使 用 具有 一 定 的 
技巧 ， 比 如 DMZ 的 部 署 、Iptables 3: 22 i W 
的 变 定 等 ， 都 需要 审慎 对 符 才 能 发 挥 其 最 大 
功效 。 基 于 此 ， 本 章 将 详细 介绍 企业 级 防火 
墙 的 部 着 及 应 用 。 
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外 部 网 络 





File Server 


图 13-1 防火 场 体系 网 络 络 构 


EET wetfilter/Iptables 防火 墙 框架 技术 原理 





Linux 系统 提供 了 一 个 目 袖 免费 的 防火 增 
下 面 详细 介绍 该 框架 的 安装 、 配 置 和 使 用 。 


13.2.1 Linux 中 的 主要 防火 墙 机 制 演进 


Linux 的 防火 墙 技 术 经 历 了 奉 干 代 的 改革 ， 一 步 步 地 发 展 而 来 。 最 开始 的 Ipfwadm 是 Alan 
Cox 在 Linux kernel 发 展 的 初期 ， 从 FreeBSD 的 内 核 代 人 码 中 移植 过 来 的 。 后 来 经 历 了 Ipchains， 
再 经 由 Paul Russell 在 Linux kernel 2.3 系列 的 开发 过 程 中 发 展 了 Netfilter 这 个 架构 。 而 用 户 空间 
的 防火 墙 管理 工具 ， 也 相应 的 发 展 为 Iptables。Netfilter/Iptables 这 个 组 合 目 前 相当 令 人 满意 。 在 
经 历 了 Linux kernel 2.4 和 2.5 的 友 展 以 后 ， 的 确 可 以 说 ，Netfilter/Iptables 经 受 住 了 大 量 用 户 广泛 
使 用 的 考验 。 准 人 确 地 说 ，Netfilter/Iptables 可 以 说 是 Linux 的 第 三 代 防 火场 ， 而 且 它 比 Ipfwadm 和 
Ipchains 要 出 色 很 多 ， 因 此 ，Linux Wi Netfilter 设 定 为 其 预定 的 防火 墙 , 虽然 Netfilter z A HK 
件 ， 但 其 芒 能 、 称 定性 、 安 全 性 、 扩 展 性 等 方面 都 丝 蝶 不 进 于 其 他 的 商业 防火 场 。 


13.2.2 Netfilter/Iptables 架构 简介 





Netfilter/Iptables 防火 墙 框 染 ,该 框架 功能 强大 。 

















Netfilter/Iptables 可 以 对 流入 和 流出 的 信息 进行 细 化 控制 ， 且 可 以 在 一 台 低 配置 机 右上 很 好 
地 运行 , 被 认为 是 Linux 中 实现 包 过 滤 功 能 的 第 四 代 应 用 程序 。Netfilter/Iptables 包含 在 Linux 2.4 
以 后 的 内 核 中 ， 可 以 实现 防火 墙 、NAT【〔 网 络 地 址 翻译 ) 和 数据 包 的 分 割 等 功能 。Netfilter 工作 
在 内 核 内 部 , 而 Iptables 则 是 让 用 户 定义 规则 集 的 表 结 构 。 Netfilter/Iptables 从 Ipchains 和 Ipwadfm 
(IP 防火 墙 管 理 ) 演化 而 来 ， 功 能 更 加 强大 。 
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这 里 所 说 的 Iptables 是 Ipchains 
的 后 继 工 具 , 但 具有 更 强 的 可 扩展 性 。 
内 核 模 块 可 以 注册 一 个 新 的 规则 表 
(table) ， 并 要 求 数据 包 沈 经 指定 的 规 
则 表 。 这 种 数据 包 选 择 用 于 实现 数据 
包 过 滤 (filter 表 )、 网 络 地 址 转换 (NAT 
K) 及 数据 包 人 处 理 (mangle 表 ) 。Linux 
2.4 内 核 及 其 以 上 版 本 提供 的 这 三 种 
数据 包 处 理 功能 都 基于 Netfilter HIE 
T ERUNT IP 表 , 都 是 相互 间 独 立 的 模 
块 ， 完 美 地 集成 到 了 由 Netfilter 提供 
的 框架 中 ， 如 图 13-2 所 示 。Netfilter 
主要 提供 了 以 下 三 项 功能 。 

a WY., filter 表格 不 会 对 数 

据 包 进 行 修改 ， 而 上 只 对 数据 














IE V LU LL 
JOQUUOQUQD 











图 13-2. Netfilter/Iptables 框架 结构 示意 图 








包 进 行 过 泪 。JIptables 优 于 Ipchains 的 一 个 方面 就 是 它 更 为 小 巧 和 快速 。 它 是 通过 钓 子 
函数 NF IP LOCAL IN. NF IP FORWARD 及 NF IP LOCAL OUT 接 入 Netfilter 框 
AIT] o 

NAT. NAT 表格 监听 三 个 Netfilter £J F K c: NF IP PRE ROUTING 、 
NF IP POST ROUTING 及 NF IP LOCAL OUT. NF IP PRE ROUTING 实现 对 需要 
转发 数据 包 的 源 地 址 进行 地 址 转换 ， 而 NF IP POST ROUTING 则 对 需要 转发 的 数据 
包 的 目的 地 址 进行 地 址 转换 。 对 于 本 地 数据 包 目 的 地 址 的 转换 ， 则 由 
NF IP LOCAL OUT 来 实现 。 

数据 包 处 理 。mangle 表格 在 NF IP PRE ROUTING 和 NF IP LOCAL OUT HF pit 
行 注册 。 使 用 mangle 表 ， 可 以 实现 对 数据 包 的 修改 或 给 数据 包 附 上 一 些 外 市 数据 。 当 
前 mangle 表 文 持 修 改 TOS 位 及 设置 skb 的 nfmard 字段 。 











根据 实际 情况 ， 灵 活 运 用 Netfilter/Iptables 框架 ， 生 成 相应 的 防火 墙 规则 可 以 方便 、 高 效 地 


阻 断 部 分 网 络 攻击 以 及 非法 数据 包 ， 





packets killed 
参见 图 13-3 所 示 的 工作 原理 。 然 而 ， — 
由 于 配置 了 防火 墙 ， 可 能 会 引起 诸如 REJECTed System with netfilter/iptables 














FTP、QQ、MSN 等 协议 和 软件 无 法 使 | 
用 或 者 某 些 功能 无 法 正常 使 用 ， 也 有 per | 

Akb 己 Ut Kn] "MN Incoming packets | ACCEPTed 
M die RPC d 无 法 = E. 
执行 ， 这 需要 用 户 根 据 实际 情况 来 配 TUUS a S] e ne 
置 相应 的 服务 代理 程序 来 开启 这 些 服 ”一 
务 。 需 要 特别 提醒 注意 的 是 ， 防 火 墙 。 < 一 cone roodo 





也 可 能 被 内 部 攻击 , 其 并 不 是 万 能 的 ， 
还 需要 综合 使 用 其 他 防护 手段 。 内 部 
人 员 由 于 无 法 通过 Telnet 浏览 邮件 或 











图 13-3 Netfilter/Iptables 框架 工作 原理 


Aye 
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使 用 FTP 向 外 发 送信 息 ， 个 别人 会 对 防火 墙 不 满 进而 可 能 对 其 进行 攻击 和 人 破坏。 而 且 ， 攻 击 的 
目标 第 沼 是 防火 墙 或 防火 墙 运行 的 操作 系统 , 这 极 大 地 危害 了 防火 增 系 统 其 至 十 关键 信息 系统 的 
安全 。 


13.2.3 ”Netfilter/lptables 模块 化 工作 架构 

















Netfilter 是 工作 在 Linux 中 的 一 个 功能 ， 而 这 种 功能 是 通过 “模块 ”化 的 方式 来 扩充 和 实现 
Hj. 用户 可 以 通过 Linux 的 模块 管理 工具 随心 所 欲 地 将 模块 载 入 内 存 ， 或 者 将 某 个 不 需要 使 用 的 
模块 从 内 存 中 删除 挥 ， 而 Netfilter 也 是 以 模块 的 方式 存在 于 Linux 之 中 的 。 可 以 认为 ，Linux 系 
统 内 存 中 多 加 载 了 一 个 Netfilter KRR ERE Linux 防火 增 的 功能 多 了 一 项 。 

Netfilter 在 Linux 系统 中 有 两 种 存在 方式 : 与 IPv4 或 者 IPv6 协议 相关 ; 与 IPv4 或 者 IPv6 
协议 均 无 天 。 如 下 所 示 的 目录 结构 反映 了 与 IPv4 协议 相关 的 Netfilter 模块 的 存在 方式 : 


/lib/modules/2.6.18-8.e15/kernel/net/ipv4/netfilter 























ce cM ur oM Moms noc I OMNES RC SOMEONE. DB 
3j ede Cc die 

和 全 

soa oie conterere Te ee e ae cos on eue ONO 
TCPMSS.ko 

Dpeconnbridckmomamecekompeng nl a ne som Mr S TM P 
one EO 

ae 

a oe SLs soTpEIaPNOS Zo dco tco CUR OCMOB TEE EO 

DDECONMUEJCHREm nl Oe: ne De Meo PEDIS ES 

本 

证 名 oO 有 ee 全 间作 

本 人 和 

PECORE aA OE osea spmpsteg smod csepdedmp t SDIEESEC e 

如 下 所 示 的 目录 结构 反映 了 与 IPv6 协议 相关 的 Netfilter 模块 的 存在 方式 : 


/lib/modules/2.6.18-8.e15/kernel/net/ipv6/netfilter 








ip6 queue.ko ip6table raw.ko ip6t dst.ko ip6t hbh.ko ip6t ipvó6header.ko 
Too REJECT. KO 

ip6table filter.ko ip6 tables.ko ip6t eui64.ko ip6t hl.ko Ip E LOG.ko 
"y xe e 

ip6table mangle.ko ip6t ah.ko ip6t frag.ko ip6t HL.ko ip6t owner.ko 

以 上 两 个 目录 结构 中 的 模块 均 只 能 在 IPv4 和 JPv6 协议 下 工作 ,它们 是 Linux 内 核 版 本 2.6.14 
下 的 产物 。 而 为 了 使 得 对 Netfilter 模块 的 管理 更 加 简单 和 高 效 ， 从 Linux 2.6.14 内 核 版 本 之 后 ， 
Netfilter 的 模块 束 只 有 如 下 的 目录 结构 方式 ,它们 都 是 与 协议 无 关 的 , 因而 能 够 工作 在 IPv4 和 IPv6 
网 络 协 议 环境 下 : 
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/lib/modules/2.6.18-8.el5/kernel/net/netfilter 

UE EO Sconto cc O i i oM 
ee 

Kis enk O Te le rl el en ee ee < en te Ke 
xem dene I e deto 

Me ne CONNMARE ko cp Spem cEEUEOUDU > re ne ke 
> bn Teo 

EN 
oa 

人 
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13.2.4 安装 和 启动 Netfilter/lptables 系统 


因为 Netfilter/Iptables 的 Netfilter 组 件 是 与 内 核 2.4.x 集成 在 一 起 的 , 对 于 Red Hat Linux 9 或 
更 局 版 本 的 Linux 都 配备 了 Netfilter 这 个 内 核 工 具 ， 所 以 一 般 不 需要 下 载 ， 而 上 只 要 下 载 并 安 狐 
Iptables 用 户 空 间 工 具 的 源 代 人 码 包 ， 下 载 的 网 址 为 : http://www.netfilter.org/projects/iptables/ 
downloads.html. 目前 , 最 新 源 代 公 安装 包 是 : iptables-1.4.2-rc1.tar.bz2. 在 Red Hat Enterprise Linux 
5 中 ， 已 经 目 市 了 Iptable 用 户 空 间 工 共 ， 不 需要 日 己 下 载 源 代 公 安 狠 ， 这 里 只 是 对 源 代 公 安 效 
作 一 个 介绍 。 
EFRR Iptables 用 户 空 间 工 具 之 前 ， 要 对 系统 做 东 些 修改 。 主 要 有 以 下 选项 需要 进行 配置 
和 修改 。 
= CONFIG PACKET: 如 果 要 使 应 用 程序 直接 使 用 某 些 网 络 设备 ， 那 么 该 选项 是 有 用 的 。 
= CONFIG IP NF MATCH STATE: 如 末 要 配置 有 状态 的 防火 场 ， 那 么 该 选项 非 党 重要 
而 且 很 有 用 。 这 类 防火 场 会 记得 先前 关于 信息 包 过 滤 所 做 的 决定 ， 并 根据 它们 做 出 新 
的 决定 。 

= ”CONFIG IP NF FILTER: 该 选项 提供 一 个 基本 的 信息 包 过 小 框架 。 如 果 打 开 该 选项 ， 
则 会 将 一 个 基本 过 滤 表 ( 带 有 内 置 的 INPUT、FORWARD £I OUTPUT 链 ) 添加 到 内 核 
aE 

= CONFIG IP NF TARGET REJECT: 该 选项 允许 指定 应 该 发 送 ICMP HRY As OK CU] JW 

已 补 DROP 掉 的 入 站 信息 包 ， 而 不 是 简单 地 杀 死 这 些 信息 包 。 

下 和 面 是 安 疙 源 代码 包 的 步 又 : 

// 将 源 代 码 文件 解压 缩 

roae | ee 





















































Pe ee E 

/ /切换 目录 

#cd iptables 1.4.2 

// 编 详 该 工具 ， 指 定编 详 的 内 核 目录 为 /usr/src/Linux-2.6.18-8 





兵 来 将 挡 ， 水 来 土 掩 ， 企 业 级 防火 墙 部 署 及 应 用 国 


ia 

// 执 行 make install 命令 ， 同 样 设 定 内 核 目 录 为 /usr/src/Linux-2.6.18-8 
WE 

安装 完成 后 ， 束 可 以 局 动 防火 墙 了 。 下 和 面 局 动 Iptables 命令 : 
有 


# service iptables start 


如 果 想 要 在 系统 局 动 的 时 候 也 局 动 该 防火 墙 服 务 , 那么 可 以 使 用 setup 命令 , 然后 进入 System 


service 选项 ， 

















选择 iptables 守护 进程 即 可 。 


13.2.5 ”使 用 iptables 编写 防火 墙 规则 
通过 向 防火 墙 提供 有 关 对 来 自 某 个 源 、 到 某 个 目的 地 或 具有 特定 协议 类 型 的 信息 包 要 做 些 什 


么 的 指令 ， 

















规则 控制 信息 包 的 过 滤 。 通 过 使 用 Netfilter/Iptables 系统 提供 的 特殊 命令 Iptables, ££ 








立 这 些 规则 ， 并 将 其 添加 到 内 核 空间 的 特定 信息 包 过 滤 表 内 的 链 中 。 关 于 添加 /除去 /编辑 规则 的 
命令 的 一 般 语 法 如 下 ; 


iptables 


不 难看 出 ， 


Ts 





动作 


[-t table] command [match] [target] 
一 条 Iptables 规则 包含 以 下 5 个 基本 元 素 。 


表 (table) 
-t table 选项 允许 使 用 标准 表 之 外 的 任何 表 。 表 是 包含 仪 处 理 特定 类 型 信息 包 的 规则 和 和 链 的 信 











HENK. AZP HRN: filter, nat 和 mangle。 该 选项 不 是 必 选 的 ， 如 果 末 指定 ， 则 
filter FAEERE. filter 表 用 于 一 般 的 信息 包 过 滤 ， 包 含 INPUT, OUTPUT 和 FORWAR 链 。nat 
表 用 于 要 转发 的 信息 包 ， 它 包含 PREROUTING, OUTPUT 和 POSTROUTING 链 。 如 果 信 息 包 
及 其 头 内 进行 了 任何 更 改 ， 则 使 用 mangle 表 。 该 表 包 含 一 些 规 则 来 标记 用 于 高 级 路 由 的 信息 包 
以 及 PREROUTING 和 OUTPUT ££. 


2. 


command 部 























命令 (command) 





分 是 Iptables 命令 的 最 重要 部 分 ， 它 告诉 Iptables 命令 要 做 什么 ， 例 如 ， 插 入 规 


则 、 将 规则 添加 到 链 的 末尾 或 删除 规则 。 主 要 有 如 表 13-1 所 示 的 命令 。 


^ 
今 


-A 或 --append 


-D 或 --delete 


表 13-1 lptables 常用 命令 
说 BH 
该 命令 将 一 条 规则 附加 到 链 的 末尾 
通过 用 -D 指定 要 [匹配 的 规则 或 者 指定 规则 在 链 中 的 位 置 编 号 ， 该 命令 从 链 中 删除 
» 
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-P 或 --policy 
-N 或 --new-chain 
-F 或 --flush 


-L 或 --list 

-R 或 --replace 

-X 或 --delete-chain 
-C 或 --check 

-Z 或 --zero 


说 明 
该 命令 设置 链 的 默认 目标 ， 即 集 略 。 所 有 与 链 中 任何 规则 都 不 匹配 的 信息 包 都 将 被 
强制 使 用 此 链 的 策略 
用 命令 中 所 指定 的 名 称 创建 一 个 新 链 
如 条 指定 链 名 ， 该 命令 删除 链 中 的 所 有 规则 ， 如 采 未 指定 链 名 ， 该 命令 删除 所 有 链 
中 的 所 有 规则 。 此 参数 用 于 快速 清除 
列 出 指定 链 中 的 所 有 规则 
丛 换 指定 链 中 一 条 匹配 的 规则 
删除 指定 用 户 的 定义 链 ， 大 没有 指定 链 ， 则 删除 所 有 的 用 户 链 
榨 双 数据 包 是 人 盏 与 指定 链 的 规则 相 匹 配 
将 指定 链 中 所 有 规则 的 byte Aar 









































3. 匹配 (match) 








Iptables 命令 的 可 选 match 部 分 指定 信息 包 与 规则 匹配 所 应 具有 的 特征 《如 源 和 目的 地 地 址 、 
协议 等 ) 。 匹 配 分 为 两 大 类 : 通用 匹配 和 特定 于 协议 的 匹配 。 这 里 ， 将 研究 可 用 于 采用 任何 协议 
的 信息 包 的 通用 匹配 。 下 面 是 一 些 重 要 的 且 利 用 的 通用 匹配 及 其 说 明 ， 如 表 13-2 所 示 。 


38 FH UC Rc 


-p 或 --protocol 


或 --Ssource 


1 
un 


1 


或 --destination 


--Sport 
--dport 


-i 

















表 13-2 通用 匹配 说 阴 
说 AR 

该 通用 协议 匹配 用 于 检查 某 些 特定 协议 。 协 议 示 例 有 TCP, UDP, ICMP, Hi 
分 隔 的 任何 这 三 种 协议 的 组 合 列表 以 及 ALL (用 于 所 有 协议 ) 。ALL 是 默认 匹配 。 
可 以 使 用 “!2” 符 号 表示 不 与 该 项 匹配 
该 源 匹 配 用 于 根据 信息 包 的 源 IP 地 址 来 与 它们 匹配 。 该 匹配 还 允许 对 某 一 范围 内 
的 IP 地 址 进行 匹配 ， 可 以 使 用 “!” 符 号 ， 表 示 不 与 该 项 四 配 。 责 认 源 匹 配 与 所 有 
IP 地 址 匹配 
该 目的 地 匹配 用 于 根据 信息 包 的 目的 地 IP 地 址 来 与 它们 匹配 。 该 匹配 还 允许 对 某 
一 范围 内 卫 地 址 进行 匹配 ， 可 以 使 用 “!” 符 号 表示 不 与 该 项 匹配 
指定 匹配 规则 的 源 问 口 或 端口 范围 
指定 匹配 规则 的 目的 端口 或 端口 范围 
匹配 单独 的 网 络 接口 或 采种 类 型 的 接口 设置 过 滤 规 则 



































4. 目标 CtargeD 


前 面 已 经 讲 过 ,目标 是 由 规则 指定 的 操作 ， 对 与 那些 规则 匹配 的 信息 包 执行 这 些 操 作 。 除 了 
允许 用 户 定 义 的 目标 之 外 ， 还 有 许多 可 用 的 目标 选项 。 下 面 古 第 用 的 一 些 目 标 及 其 示例 和 说 明 ， 


如 表 13-3 所 示 。 


384 

















Aly 


第 153 
兵 来 将 挡 ， 水 来 土 掩 ， 企 业 级 防火 墙 部 署 及 应 用 ME 


dX 13-3 目标 项 说 阴 










































































目标 项 说 PR 
ACCEPT 当 信息 包 与 具有 ACCEPT 目标 的 规则 完全 匹配 时 ， 会 被 接收 (允许 它 前 往 目 的 地 ) 
O 当 信息 包 与 具有 DROP 目标 的 规则 完全 匹配 时 ， 会 阻塞 该 信息 包 ， 并 且 不 对 它 做 进 一 
步 处 理 。 该 目标 和 被 指定 为 - DROP 
该 目标 的 工作 方式 与 DROP 目标 相同 ， 但 它 比 DROP 好 。 和 DROP 不 同 ，REJECT 不 
REM 会 在 服务 器 和 客户 机 上 留 下 死 套 接 字 。 另 外 ，REJECT 将 错误 消息 发 回 给 信息 包 的 发 
送 方 。 该 目标 被 指定 为 - REJECT 
在 规则 中 设置 的 RETURN 目标 让 与 该 规则 匹配 的 信息 包 停止 壳 历 包含 该 规则 的 链 。 如 
RETURN 果 链 是 如 INPUT 之 类 的 主 链 ， 则 使 用 该 链 的 默认 策略 处 理 信息 包 。 它 被 指定 为 -jump 
RETURN 
LOG 表示 将 包 的 有 关 信 息 记 录入 日 志 
TOS 表示 改写 数据 包 的 TOS fH 


EEJ 使 用 Iptables 编写 规则 的 简单 应 用 


1. 编写 规则 示例 一 : 基本 规则 
下 面 将 给 出 运用 上 述 框 淋 理论 形成 规则 的 一 些 简 单 示 例 , 以 供 读 者 在 实际 的 应 用 过 程 中 进行 


模仿 和 使 用 。 





CD 接收 来 自 指定 IP 地 址 的 所 有 流入 的 数据 包 
人 
(2) 只 接收 来 自 指定 端口 (服务 ) 的 数据 包 


二 


(3) 人 允许 转发 所 有 到 本 地 (198.168.10.13) SMTP 服务 器 的 数据 包 





&iptables -A FORWARD -p tcp -d 198.168.10.13 --dport smtp -i ethO -j ACCEPT 
(4) 允许 转发 所 有 到 本 地 的 UDP 数据 包 《〈 请 如 即时 通信 等 软件 产生 的 数据 包 

iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT 

(5) 拒绝 发 往 WWW IRI ARHI 2s) og VE SR A E 

&iptables A FORWARD -p tcp -d 198.168.80.11 --dport www Ta -j REJECT 
C6) RF B B] I TRE m OHI TCP 数据 包 进 入 : 


A AN BISNI UIT E p oS AnA epore Ol exci enim cR mes 9 Ode IUIS S 2 IO 





ACORN 


(7) 允许 来 源 为 指定 端口 的 TCP 数据 包 进入 : 
Poe aD o Me OTI IR S ELS TS MS TED a DS qo Ur ee cio Msc c s ome Za es cor CINES A EE 
(8) 丢掉 SYN 和 ACK 标志 位 置 位 的 数据 包 


Wb codec c TIN U p 969. 0 ee bubo Cn A e DOE 
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2. 编写 规则 示例 二 : 进行 碎片 检测 及 流量 控制 


(1) RA IP WT. Æ TCP/IP 网 络 中 ， 链 路 层 具 有 最 大 传输 单元 MTU 这 个 特性 ， 它 限制 了 
数据 帧 的 最 大 长 上 度 ， 不 同 的 网 络 类 型 都 有 一 个 上 限 值 。 以 太 网 的 MTU 是 1500。 如 果 IP 层 有 数 
据 包 要 传送 ， 而 且 数据 包 的 长 度 超 过 了 MTU, WA IP 层 就 要 对 数据 包 进 行 分 片 (fragmentation) 
操作 ， 使 每 一 请 的 长 度 都 小 于 或 等 于 MTU， 这 些 被 分 段 的 族 段 孢 成 为 卫 人 碎片。 那么 ， 如 果 在 防 
火 墙 处 不 对 PP 俊 厂 进行 特别 处 理 的 话 ， 那 么 有 可 能 部 分 IP 碎片 会 被 防火 场 拦 堆 ， 从 而 影响 到 接 
收 亲 对 这 些 人 肆 厂 的 还 原 ， 并 最 终 有 影响 到 信息 的 完整 性 和 可 用 性 问题 所以， 下 和 面 的 例子 给 出 防火 
As fo VE IP 健 厂 通过 的 规则 : 

jiptables -A FORWARD —-p tcp -—f -s 172.168.96.0/24 -d 172.168.97.18 —-3 ACCEPT 

需要 特别 留意 上 述 规则 中 的 节选 项 ， 它 指定 了 第 二 个 以 及 以 后 的 IP R A ICD ARDT 
通过 ， 人 否则 的 话 ， 考 碟 下 面 的 规则 ， 防 火场 有 可 能 对 其 第 二 个 及 其 以 后 的 IP. VEFEXETT TUER MA 

影响 正 第 的 信息 泊 通 : 

ta eo cou PORNA RDE a qalolcr esso N00 0 zd eie db E Saa T eO DIEM 

(2) 速率 限制 。Iptables $t T JER f Ipae), EHRE T ER PP FR] P KIA 
间 内 通过 的 数据 包 个 数 , 这 样 做 的 一 个 直接 好 处 束 是 尽 可 能 地 抑制 前 面 多 次 提 到 的 拒绝 服务 攻击 
或 者 是 分 布 式 拒绝 服务 攻击 , 因为 这 两 种 攻击 的 一 个 非常 典型 的 表现 就 是 单位 时 间 内 有 很 多 数据 
包 清 问 目 的 地 。 所 以， 我 们 可 以 使 用 下 面 的 规则 来 限制 单位 时 间 内 允许 通过 防火 场 ， 从 而 进入 补 
保护 网 络 的 数据 包 个 数 : 


tiptables -A INPUT -m limit --limit 200/second 







































































*fiptables -A INPUT -m limit --limit 10000/minute 

上 述 两 条 规则 分 别 限制 1 秒 内 和 1 分 钟 内 通过 的 数据 包 个 数 不 能 超过 200 和 10000 个。 当然 ， 
在 实际 应 用 中 ， 也 可 以 通过 /second、/minute、/hour、/day 这 样 的 时 间 间 隔 来 进行 设 定 ， 并 且 ， 
其 中 诸如 200 和 10000 这 些 具 体 数 值 的 设 定 需要 用 户 根据 具体 情况 和 经 验 来 进行 设 定 , 没有 规定 
的 数值 可 循 。 

另外 , 在 设 定 速率 限制 后 , 还 可 以 设 定 超过 该 限制 所 触发 的 一 些 处 理事 件 , 比如 说 直接 丢弃 。 
下 和 面 的 规则 表示 当 速 这 超 过 200 限制 后 ， 将 直接 对 后 续 数 据 包 进行 于 弃 : 

le i a e MHIS Site 0 

3. 编写 规则 示例 三 : 保障 网 络 服务 安全 

在 上 一 小 节 我 们 根据 Iptables 的 规则 编写 原则 介绍 了 一 些 人 简单 的 使 用 其 进行 数据 包 过 滤 的 例 
子 ， 由 于 Iptables 在 实际 生活 中 得 到 了 非常 广泛 的 使 用 ， 本 节 将 介绍 一 个 使 用 其 保障 网 络 服 务 安 
全 的 例子 ， 以 使 用 户 能 够 在 实际 使 用 中 举一反三 。 

D) 其 体 应 用 场景 

在 这 个 应 用 中 ， 我 们 将 需要 使 用 Iptables 防火 墙 保护 企业 网 络 提 供 的 对 外 的 公共 Internet Hi 
务 ， 这 些 服务 包括 WWW 服务 、FTP 服务 、SMTP 服务 以 及 DNS 服务 〈 有 具体 的 网 络 拓扑 请 参见 
图 13-4) 。 因 此 ， 这 些 服 务 都 上 共有 有 效 的 Internet 地 址 。 

为 了 将 内 部 网 段 210.10.18.0/24 与 Internet 隔离 ,在 内 部 网 络 和 Internet 之 间 使 用 了 包 过 滤 防 
Ad. RBS IP 地 址 设置 如 下 。 
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a 防火墙 的 内 网 接口 是 eth0 CP 地 址 为 : 
210.10.18.88) ， 防 火 墙 对 外 的 Internet 接口 
是 ethl (IP 地 址 为 : 210.10.19.188) 。 
= WWW 服务 器 : IP 地 址 为 210.10.18.89。 
= ”FTP 服务 器 : IP 地 址 为 210.10.18.90。 
a DNS 服务 器 : IP 地 址 为 210.10.18.91。 
= SMTP 服务 器 : IP 地 址 为 210.10.18.92。 
2) 防火 墙 具 体 配 置 
本 应 用 的 主要 目的 是 对 企业 网 提供 各 种 服务 的 服 
务 器 提供 保护 ， 以 使 它们 免 受 来 目 于 外 网 Internet 恶意 
用 户 和 流量 的 攻击 和 人 危害。 在 配置 过 程 中 ， 需 要 根据 
本 章 前 面部 分 介绍 的 知识 进行 规则 编写 等 工作 具体 的 
步骤 如 下 。 
CIO 建立 有 关 的 脚本 文件 : 在 /etcirc.d/ 上 有 目录 下 用 
touch 命令 建立 空 的 脚本 文件 , 执行 chmod 命令 添加 可 
执行 权限 。 


= couch /ere/ re- 0l/icLieceewall=-tror=-nertcworkseryLee 






访问 用 户 


Internet 























# chmod u+x /etc/rc.d/firewall-for-networkservice 





(2) 编辑 /etc/rc.d/rc.local 文件 ， 在 末尾 加 上 /etc/rc.d/firewall-for-networkservice 以 确保 开机 时 


能 目 动 执行 该 脚本 ， 运 行 如 下 命令 : 


a echo "/erc/re.@/riLirceewall=torc=necworckseryice" S/SEe/ TC r€. local 


(3) EF] Vi 或 者 Gedit 等 编辑 器 编辑 /etc/rc.d/firewall-for-networkservice 文件 ,插入 如 下 内 容 。 
OD) 添加 相关 脚本 人 信息。 注意: 脚本 中 的 注释 是 采用 “#” 表 示 ， 而 不 是 通常 用 的 “//”。 








# 添加 脚本 编写 头 部 

# !/bin/bash 

# 在 屏幕 上 显示 信息 

echo "Starting iptables rules..." 

# 开局 内 核 转 发 功能 

echo ey ml el A le ie wal 
D 定义 规则 使 用 的 相关 变量 : 

# 定义 变量 


IPT-/sbin/iptables 











WEPe E ES pM F029 
ETES HRVER 21010- Ete 0 
DN ER VER -TOTON En 
SIE e c SERVET TL C TEIG; c diii e epe 


PROTECT DOMAIN-"210.10.18.0/24" 








图 13-4 ”防火 场 部 普 实 例 示 意 疼 
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D 刷新 基本 的 链 规 则 ， 并 茶 止 转发 任意 包 : 

$IPT LIST -F 

$IPT LIST -P FORWARD DROP 

O 设置 有 关 保 护 服务 器 的 包 过 滤 规 则 ， 并 且 注 意 由 于 服务 器 /客户 机 区 互 是 双 同 的 ， 所 以 不 
仅仅 要 设置 数据 包 出 去 的 规则 ， 还 要 设置 数据 包 返 回 的 规则 ， 如 下 所 示 : 

# 保 护 www 服务 : 服务 端口 为 80， 采 用 TCP 或 UDP 协议 

# 规 则 为 ethn1=> 人 允许 目的 为 内 部 网 www 服务 器 的 包 


$IPT LIST -A FORWORD -p tcp udp -d SWEB SERVER -dport www -i ethl -j ACCEPT 














# 保 护 FTP 服务 : 服务 端口 为 : 命令 端口 21， 数 据 端 口 20。FTP 服务 采用 TCP 协议 。 
# 规则 为 : eth1=> 人 允许 目的 为 内 部 网 FTP HRS SRI). 


$IPT LIST -A FORWORD -p tcp -d $FTP SERVER -dport ftp -i ethl -j ACCEPT 


# 保 护 DNS 服务 : DNS mI 53, XH] TCP 协议 或 者 UDP 协议 
# 规 则 为 : eth1=> 人 允许 目的 为 内 部 网 DNS 服务 器 的 查询 请 求 


$IPT LIST -A FORWORD -p tcp udp -d $ DNS SERVER -dport dns -i ethl -j ACCEPT 





# 保 护 SMTP 服务 : SMTP 端口 25， 采 用 TCP 协议 

# 规 则 为 : eth1=> 人 允许 目的 为 内 部 网 SMTP 服务 器 的 SMTP 请 求 

$IPT LIST -A FORWORD -p tcp -d $ SMTP SERVER -dport smtp -i ethl -j ACCEPT 

(4) 执行 脚本 ， 使 配置 规则 立刻 生效 : 

ee a a a E aa 

到 现在 为 止 , AKEH KERANA Hc o9 E WO Lo s T o 38 SEDET EMAR, d] 
£v. SAAR R Js BOT AB KER NATA T ARRIJ AmA, KE peA 2308 DR 
制 除 这 几 个 服务 之 外 的 流量 进入 ， 从 而 达到 保证 安全 的 目的 。 当 然 ， 这 个 例子 还 非常 简单 ， 用 户 
还 可 以 在 实际 中 通过 针对 具体 服务 细 化 防火 墙 配置 ， 比 如 限制 外 部 网 络 并 发 连接 WWW 服务 的 
TCP 请 求 个 数 、 限 制 外 网 访问 FTP 服务 器 的 IP 地 址 列表 等 来 进行 。 这 里 只 是 给 出 一 个 简要 的 示 
例 ， 以 达到 抛砖引玉 的 目的 。 

















13.4 使 用 Iptables 完成 NAT 功能 


13.4.1 NAT 简介 


在 传统 的 标准 TCP/IP 通信 过 程 中 ， 所 有 的 路 由 右 仪 仪 是 充当 一 个 中 间 人 的 角色 ， 也 束 是 通 
第 所 说 的 存储 转发 ， 路 由 占 并 不 会 对 转 友 的 数据 包 进 行 修改 ， 更 为 确切 地 说 ， 除 了 将 源 MAC 地 
址 换 成 自己 的 MAC 地 址 以 外 ， 路 由 喜 不 会 对 转发 的 数据 包 做 任何 修改 。NAT (Network Address 
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Translation) 恰恰 是 出 于 某 种 特殊 需要 而 对 数据 包 的 源 IP 地 址 、 目 的 IP HEHE Minos HAY 
日 进行 改 与 的 操作 。 
一 般 来 说 ， 以 下 几 种 情况 下 需要 做 NAT. 
a HHP EGET Internet 接 入 服务 。 为 了 方便 管理 ，ISP 2) G5 H3 HJ IP 地 址 都 是 伪 IP, 
但 是 部 分 用 户 要 求 建立 目 己 的 WWW. 服务 器 对 外 发 布 信息 ， 这 时 候 我 们 束 可 以 通过 
NAT 来 提供 这 种 服务 了 。 我 们 可 以 在 防火 墙 的 外 部 网 卡 上 绑 定 多 个 合法 IP 地 址 ， 然 后 
通过 NAT 技 术 使 发 给 其 中 某 一 个 卫 地 址 的 包 转 发 至 内 部 某 一 用 户 的 WWW 服务 右上， 
然后 再 将 该 内 部 WWW 服务 右 啊 应 包 伪 闭 成 该 合法 IP 发 出 的 包 。 
a ”使 用 拨号 上 网 的 网 吧 。 因 为 只 有 一 个 合法 的 IP 地 址 ， 必 须 采 用 某 种 手段 让 其 他 机 器 也 
可 以 上 网 ， 通 党 是 采用 代理 服务 器 的 方式 ， 但 是 代理 服务 器 ， 尤 其 是 应 用 层 代 理 服务 
器 ， 只 能 文 持 有 限 的 协议 ， 如 果 过 了 一 段 时 间 后 又 有 新 的 服务 出 来 ， 则 只 能 等 待 代理 
服务 器 文 持 该 新 应 用 的 升级 版 本。 如 果 采 用 NAT 来 解决 这 个 问题 ， 因 为 是 在 应 用 层 以 
下 进行 处 理 ，NAT 不 但 可 以 获得 很 高 的 访问 速度 ， 而 且 可 以 无 颖 地 文 持 任何 新 的 服务 
或 应 用 。 
mn 还 有 一 个 方面 的 应 用 束 是 重 定 同 ， 也 残 是 当 接 收 到 一 个 包 后 ， 不 是 转发 这 个 包 ， 而 是 
将 其 重 定 问 到 系统 上 的 某 一 个 应 用 程序 。 最 常见 的 应 用 束 是 和 squid 配合 使 用 成 为 透明 
代理 ， 在 对 http 流量 进行 缓存 的 同时 ， 可 以 提供 对 Internet 的 无 颖 访问 。 


13.4.2 NAT 的 原理 




































































Linux 将 NAT 分 成 了 两 种 类 型 ， 即 源 NAT (SNAT) 和 目的 NAT (DNAT) ， 顾 名 思 义 ， 
所 谓 SNAT Lect te Xem. Drs DNAT uec te SOLI H E. muri 
提 到 过 ，Netfilter 是 Linux 核心 中 的 一 个 通用 架构 ， 它 提供 了 一 系列 的 “ 表 ” Ctables) ， 每 个 表 
HAT “E” (chains) 组 成 ， 而 每 条 链 中 可 以 有 一 条 或 数 条 规则 Cule) 组 成 。 并 且 系 统 默认 的 
表 是 “filter”。 但 是 在 使 用 NAT 的 时 候 ， 我 们 所 使 用 的 表 不 再 是 “filter”， 而 是 “nat” 表 ， 所 
以 我 们 必须 使 用 “-t nat” 选 项 来 显 式 地 指明 这 一 点 。 因 为 系统 默认 的 表 是 “filter”， 所 以 在 使 用 
filter 功能 时 ,我们 没有 必要 显 式 地 指明 “-t filter”。 同 filter 表 一 样 ，nat 表 也 有 三 条 默认 的 “ 链 ” 
(chains) ， 这 三 条 链 也 是 规则 的 容 右 ， 它 们 分 别 如 下 。 

a PREROUTING: 可 以 在 这 里 定义 进行 目的 NAT 的 规则 ,因为 路 由 器 进行 路 由 时 只 检查 
数据 包 的 目的 IP 地 址 ， 所 以 为 了 使 数据 包 得 以 正确 路 由 ， 我 们 必须 在 路 由 之 前 就 进行 
目的 NAT。 

= POSTROUTING: 可 以 在 这 里 定义 进行 源 NAT 的 规则 ， 系 统 在 决定 了 数据 包 的 路 由 以 
后 再 执行 该 链 中 的 规则 。 

a OUTPUT: 定义 对 本 地 产生 的 数据 包 的 目的 NAT 规则 。 

如 前 所 述 ， 在 使 用 Iptables 的 NAT 功能 时 ， 我 们 必须 在 每 一 条 规则 中 使 用 -t nat 显 式 地 指明 

使 用 nat 表 。 然 后 使 用 以 下 选项 。 

1) 对 规则 的 操作 

= 加 入 (append) 一 个 新 规则 到 一 个 链 《〈-A) 的 最 后 。 

a ”在 链 内 某 个 位 置 插入 (insert) 一 个 新 规则 CD ， 通 常 是 插 在 最 前 面 。 

a ”在 链 内 菏 个 位 置 蔡 换 (replace) 一 条 规则 C-R) 。 
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a ”在 链 内 某 个 位 置 市 除 Cdelete) 一 条 规则 (C-D) à 
a JW delete) 链 内 的 第 一 条 规则 (C-D) 。 
2) 指定 源 地 址 和 目的 地 址 
通过 --source/--src/-s 来 指定 源 地 址 (这 里 的 /表示 或 者 的 意思 , 下 同 ), 通过 --destination/--dst/-s 
来 指定 目的 地 址 。 可 以 使 用 以 下 四 种 方法 来 指定 IP 地 址 。 
a ”使 用 完整 的 域名 ， 如 www.tsinghua.edu。 
= ”使 用 IP 地 址 ， 如 172.168.92.10。 
a ”用 IP 地 址 / 子 网 掩 码 指 定 一 个 网 络 地 址 ， 如 192.168.1.0/255.255.255.0。 
a ”用 IP 地址 / 子 网 掩 码 的 位 数 指定 一 个 网 络 地 址 ， 如 192.168.1.0/24， 这 里 的 24 表明 了 子 
网 措 人 码 的 有 效 位 数 ， 这 是 Linux 环境 中 通常 使 用 的 表示 方法 。 上 默认 的 子 网 掩 人 码 数 是 32, 
也 就 是 说 ， 指 定 172.168.92.10 等 效 于 172.168.92.10/32。 
3) 指定 网 络 接口 
可 以 使 用 --in-interface/-i 8k--out-interface/-o 来 指定 网 络 接 口 。 从 NAT 的 原理 可 以 看 出 ， 对 
于 PREROUTING 链 ， 我 们 只 能 用 -i 指定 进来 的 网 络 接口 ， 而 对 于 POSTROUTING 和 OUTPUT 
我 们 只 能 用 -o 指定 出 去 的 网 络 接口 。 
4) 指定 协议 及 端口 
可 以 通过 --protocol/-p 选项 来 指定 协议 ， 如 果 是 UDP 和 TCP 协议 ， 还 可 使 用 
--source-port/--sport 和 --destination-port/--dport 来 指明 端口 。 


13.4.3 NAT 的 具体 使 用 








1. 产地 址 NAT 


1) 标准 的 SNAT 

SNAT 的 目的 是 进行 源 地 址 转换 ， 应 用 于 POSTROUTING 规则 链 。 在 路 由 决定 之 后 应 用 
SNAT 与 出 站 接口 相关 ， 而 不 是 入 站 接口 。 语 法 如 下 : 

qmropoabdccw-oenmebc2POSmW UT ee-ossoptsgesndgesmusertqpdec c SNANA ee 

«address»[-«address»][:port-port] 

2) MASQUERADE Jii NAT 

MASQUERADE 没有 选项 来 指定 在 NAT 设备 上 使 用 的 特定 源 地 址 , EH PI RH RE SC AE EH Hs 
接口 的 地 址 。 


本 本 下 全 





«port» [-port]] 
举 一 个 简单 的 例子 : 更 改 所 有 来 自 192.168.1.0/24 的 数据 包 的 源 IP 地 址 为 1.2.3.4: 
1 ken me nee 2o ISO S TUO Ee Ee TES Seb 92 d. exo a es e ede osx dies 26 eredi 
这 里 需要 注意 的 是 ， 系 统 在 路 由 及 过 滤 等 处 理 直 到 数据 包 要 被 送出 时 才 进 行 SNAT. 
另外 ， 有 一 种 SNAT 的 特殊 情况 是 卫 Ki, ENA Masquerading, W ENEE H 
拨号 上 网 的 时 候 使 用 ， 或 者 说 在 合法 IP 地 址 不 固定 的 情况 下 使 用 。 比 如 : 


$t iptables -t nat A POSTROUTING o pppO0 -j MASQUERADE 
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可 以 看 出 ， 这 时 候 我 们 没有 必要 显 式 地 指定 源 IP 地 址 等 信息 。 
2. 目的 地 址 NAT 


目的 地 址 NAT 有 两 种 形式 : DNAT 和 REDIRECT. REDIRECT 是 目的 地 址 转换 的 特殊 形式 ， 
将 数据 包 重 定向 到 NAT 设备 的 输入 或 回环 接口 。 目 的 地 址 NAT 应 用 于 nat 表 的 PREROUTING 
和 OUTPUT 规则 链 ， 在 做 出 路 由 决定 前 对 目的 地 址 进行 修改 。 在 PREROUTING F, DNAT 和 
REDIRECT 规则 与 用 来 接收 通过 本 地 路 由 转发 或 送 到 主机 的 入 站 接口 的 数据 包 的 入 站 接口 有 关 。 
Œ OUTPUT 中 ，DNAT 和 REDIRECT 规则 用 来 处 理 来 日 NAT 主机 本 号 生成 的 出 站 数据 包 。 

D 标准 目的 地 址 NAT (DNAT) 


rotables -C Nat A PREROUTING Incoming Interface NDNA iode T 














«address» [-«address»][:port-port] 

iptables -t nat -A OUTPUT -o «outgoing interface» -j DNAT --to-destination 
«address» [-«address»][:port-port] 

目的 地 址 用 来 符 换 数据 包 中 的 原始 目的 地 址 和 多 位 本 地 服务 大 地 址 。 

2) REDIRECT 





开本 
sosta 

rotaples per A OU oom oJ rcgem cv mqcer ge FEIER CV tor ot 
oou pound 

REDIRECT 重 定 问 数 据 包 到 执行 REDIRECT 操作 的 那 台 主 机 。 

举 个 简单 的 例子 :更改 所 有 来 自 192.168.1.0/24 的 数据 包 的 目的 IP 地址 为 1.2.3.4: 

to le A a DA 

这 里 需要 注意 的 是 ， 系 统 足 先进 行 DNAT， 然 后 才 进 行路 由 及 过 小 等 操作 。 有 一 种 DNAT 
的 特殊 情况 是 重 定向 ， 也 就 是 所 谓 的 Redirection, 这 时 候 就 相当 于 将 符合 条 件 的 数据 包 的 目的 IP 
地 址 改 为 数据 包 进 入 系统 时 的 网 络 接口 的 卫 地 址 。 通 常 是 在 与 squid 配置 形成 透明 代理 时 使 用 ， 
假设 squid 的 监听 端口 是 3128， 我 们 可 以 通过 以 下 语句 将 来 自 192.168.1.0/24、 目 的 端口 为 80 的 
数据 包 重 定 癌 到 squid. 监听 应 口 : 


人 























REDIRECT --to-port 3128 
3. 一 个 具体 的 应 用 实例 


为 了 更 加 系统 和 全 面 地 介绍 NAT 的 使 用 ， 和 下面 举 一 个 实际 的 例子 来 进行 说明 。 假 设 有 一 家 
ISP 提供 园区 Internet 接 入 服务 ， 为 了 方便 管理 ， 该 ISP 分 配给 园区 用 户 的 I 了 P 地 址 都 是 私 网 IP, 
通过 该 私 网 IP 用 户 无 法 回 外 发 布 信 息 。 但 是 ， 部 分 用 户 要 求 建立 自己 的 WWW 服务 器 对 外 友 布 
言 朋 。 我 们 可 以 在 防火 墙 的 外 部 网 卡 上 绑 定 多 个 合法 IP 地 址 ， 然 后 通过 IP 遇 射 使 发 给 其 中 东 一 
个 卫 地 址 的 包 转 发 至 内 部 某 一 用 户 的 WWW 服务 右上 , 然后 再 将 该 内 部 WWW 服务 右 啊 应 包 伪 
装 成 该 合法 IP. 发 出 的 包 。 

RARI IP 分配 如 下 。 

(1) 该 ISP 分 配给 A 单位 WWW 服务 器 的 IP 如 下 。 
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私 网 IP: 172.168.92.100 

公 网 IP: 210.95.33.100 

(2) 该 ISP 分 配给 B 单位 WWW 服务 器 的 IP 如 下 。 

私 网 IP: 172.168.92.200 

公 网 IP: 210.95.33.200 

(3) Linux Jj S If] IP 地址 如 下 。 

内 网 接口 eth1: 172.168.92.10 

外 网 接口 eth0: 210.95.33.1 

然后 ， 我 们 需要 进行 如 下 步骤 的 操作 。 

(1) 将 分 配给 A、B 单位 的 真实 了 绑 定 到 防火 墙 的 外 网 接口 ， 以 root 权限 执行 以 下 命令 : 
le Oe TEES Bec BO DD a e 2a 2 Dus 245 SI 





PECON To lel 2 sts 0D e e Uy RO LO 
(2) 成 功 升级 内 核 后 安装 Iptables， 然 后 执行 以 下 脚本 载 入 相关 模块 : 
MO PRODE mem INS 


podpnobesm EDO HEP 


(3) 对 防火 墙 接收 到 的 目的 卫 X 210.95.33.100 和 210.95.33.200 的 所 有 数据 包 进 行 目 的 NAT 
(DNAT) : 


tse EO TN US 2 oo ege NA T EON NA boo gU) 


作证 


(4) 对 防火 墙 接收 到 的 源 IP 地 址 为 172.168.92.100 和 172.168.92.200 的 数据 包 进 行 源 NAT 
(SNAT) : 


Pipra ee cuti Odes OT Nerea cocto LAT aE Oe s iio eT ono Oeo GE case HOD, 


tro de |e ER TG nt a a lO ee Ove Me eise eror 0p 


这 样 ， 所 有 目的 IP 为 210.95.33.100 和 210.95.33.200 的 数据 包 都 将 分 别 被 转发 给 
172.168.92.100 和 172.168.92.200; 而 所 有 来 自 172.168.92.100 和 172.168.92.200 的 数据 包 都 将 分 
别 被 伪装 成 210.95.33.100 和 210.9$.33.200， 从 而 也 就 实现 了 IP 映射 。 


ETT 防火 墙 与 DMZ 的 配合 使 用 


13.5.1 DMZ 原理 





DMZ 2:5 X. demilitarized zone WMS, PLAIRA BAK” , qu *"JEZESRAGIXU o UE 
EN Y fi Dc nde ie P S9 208 A REV fe] P ES Pd 26 Ht 5-8 HJ Fe] 8, 而 设立 的 一 个 非 安 全 系统 与 
安全 系统 之 则 的 绥 冲 区 ， 这 个 缕 冲 区 位 于 企业 内 部 网 络 和 外 部 网 络 之 间 的 小 网 络 区 域内 ， 在 这 个 
小 网 络 区 域内 可 以 放置 一 些 必 须 公 开 的 服务 器 设施 ， 如 企业 Web IREE FTP 服务 器 和 论坛 等 。 
男 一 方面 ， 通 过 这 样 一 个 DMZ 区 域 ， 更 加 有 效 地 保护 了 内 部 网 络 ， 因 为 这 种 网 络 部 普 ， 比 起 一 
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般 的 防火 墙 方案 ， 对 攻击 者 来 说 又 多 了 
一 道 关 卡 ， 其 网 络 结构 如 图 13-5 所 示 。 
网 络 设 备 开 发 商 利 用 这 一 技术 ， 开 发 出 
了 相应 的 防火 场 解 决 方案 .DMZ 通常 是 
一 个 过 滤 的 子 网 ， 它 在 内 部 网 络 和 外 部 
网 络 之 间 构 造 了 一 个 安全 地 融 。 

DMZ 防火 增 方 案 为 要 保护 的 内 部 
网 络 增 加 了 一 道 安全 防线 ， 通 常 认为 是 
非常 安全 的 。 同 时 它 提 供 了 一 个 区 域 放 
置 公共 服务 器 ， 从 而 又 能 有 效 地 避免 一 
些 互联 应 用 需要 公开 ， 而 与 内 部 安全 策 图 13-5 DMZ 7r% 
略 相 矛盾 的 情况 发 生 。 在 DMZ 区 域 中 
通常 包括 堡垒 主机 、Modem 池 ， 以 及 所 有 的 公共 服务 器 ， 但 要 注意 的 是 电子 商务 服务 器 只 能 用 
TERI XESE, 真正 的 电子 商务 后 台数 据 需 要 放 在 内 部 网 络 中 。 在 这 个 防火 增 方案 中 ， 包 括 两 个 防 
火 墙 ， 外 部 防火 墙 抵 挡 外 部 网 络 的 攻击 ， 并 管理 所 有 内 部 网 络 对 DMZ 的 访问 。 内 部 防火 墙 管 理 
DMZ 对 于 内 部 网 络 的 访问 。 内 部 防火 增 是 内 部 网 络 的 第 三 道 安全 防线 《表面 有 了 外 部 防火 场 和 
BRENO ， 当 外 部 防火 墙 失 效 的 时 候 ， 它 还 可 以 起 到 保护 内 部 网 络 的 功能 。 而 局 域 网 内 部 ， 对 
于 Internet 的 访问 由 内 部 防火 墙 和 位 于 DMZ 的 堡垒 主机 控制 。 在 这 样 的 结构 里 ， 一 个 黑客 必须 
通过 三 个 独立 的 区 域 〈 外 部 防火 墙 、 内 部 防火 墙 和 堡垒 主机 ) 才能 够 到 达 局 域 网 ， 攻 击 难 度 大 大 
增加 相应 内 部 网 络 的 安全 性 也 束 大 大 加 强 ， 但 投资 成 本 也 是 最 高 的 。 


13.5.2 ”构建 DMZ 











um. 
外 部 网 络 






































1. 构建 原则 


Linux 从 2.4 内 核 开 始 , 正式 使 用 Iptables {RE LIBI HY Ipfwadm 和 Ipchains, 实现 管理 Linux 
的 包 过 滤 功 能 。Linux 的 包 过 滤 通 过 一 个 叫 Netfilter 的 内 核 部 件 来 实现 。Netfilter 内 建 了 三 个 表 ， 
其 中 默认 表 filter 中 又 包括 3 个 规则 链 ， 分 别 是 负责 外 界 流 入 网 络 接口 的 数据 过 滤 的 INPUT fi. 
负责 对 网 络 接口 输出 的 数据 进行 过 滤 的 OUTPUT 链 ， 以 及 负责 在 网 络 接口 之 间 转 发 数据 过 滤 的 
FORWARD 链 。 

要 在 Linux 系统 中 构建 一 个 市 DMZ 的 防火 增 , 需要 利用 对 这 些 链 的 设 定 完 成 。 自 先 要 对 从 连 
接 外 部 网 络 的 网 卡 (eth0〉 上 流入 的 数据 进行 判断 ， 这 是 在 INPUT 链 上 完成 。 如 果 数 据 的 目标 地 
址 属于 DMZ 网 段 ， 就 要 将 数据 转发 到 连接 DMZ 网 络 的 网 卡 〈eth1) E; 如 果 是 内 部 网 络 的 地 址 ， 
就 要 将 数据 转发 到 连接 内 部 网 络 的 网 卡 (eth2) E. € 13-4 显示 了 各 个 网 络 之 间 的 访问 许可 关系 。 




















表 13-4 DMZ 和 内 外 网 的 访问 关系 


内 网 外 网 DMZ 
T ut tit 
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根据 表 13-4， 可 以 明确 以 下 六 条 访问 控制 策略 。 





内 网 可 以 访问 外 网 。 内 网 的 用 尸 显 然 需 要 目 由 地 访问 外 网 。 在 这 一 策略 中 ， 防 火 墙 十 
要 进行 源 地 址 转换 。 

内 网 可 以 访问 DMZ。 此 策略 是 为 了 方便 内 网 用 户 使 用 和 管理 DMZ F BS HS AS de e 
外 网 不 能 访问 内 网 : 内 网 中 存放 的 是 公司 内 部 数据 ， 这 些 数 据 不 允许 外 网 的 用 户 进行 
访问 。 

外 网 可 以 访问 DMZ. DMZ 中 的 服务 器 本 吴 融 是 要 给 外 界 提供 服务 的 , 所 以 外 网 必须 可 
以 访问 DMZ。 同 时 ， 外 网 访问 DMZ 再 要 由 防火 墙 完成 对 外 网 地 址 到 服务 喜 实 际 地 址 
的 转换 。 

DMZ AREWA. WHE, WREEF EKRE, MAAZA DMZ 时 ， 束 可 以 进 
一 步 进攻 到 内 网 的 重要 数据 。 

DMZ 不 能 访问 外 网 。 此 条 策略 在 有 的 悄 况 下 可 能 会 有 例外 ， 比 如 DMZ 中 放置 邮件 服 
务 占 时 ， 束 需要 访问 外 网 ， 奋 则 将 不 能 正 第 工作 。 




















2. DMZ 的 具体 实现 


根据 以 上 访问 控制 策略 可 以 设 定 Linux Dj 
火 墙 的 过 小 规则。 下 面 将 在 一 个 虚构 的 网 络 环 
境 中 ， 探 讨 如 何 根 据 以 上 六 条 访问 控制 策略 建 
世相 应 的 防火 场 过 滤 规 则 。 这 里 的 讨论 和 具体 
应 用 会 有 所 区 别 ， 不 过 这 种 讨论 将 有 助 于 实际 
应 用 。 用 户 在 实际 应 用 时 可 根据 具体 情况 进行 
设置 。 该 虚拟 环境 的 网 络 拓扑 如 图 13-6 所 示 。 

如 图 13-6 所 示 ， 中 由 右 连 接 Internet AUD 
火 墙 。 作 为 防火 墙 的 Linux 服务 器 使 用 三 块 网 
F: 网 卡 eth0 与 路 由 器 相连 , 网 卡 ethl 与 DMZ 
区 的 Hub 相连 ， 网 卡 eth2 与 内 网 Hub 相连 。 作 
为 一 个 抽象 的 例子 ， 我 们 用 “内 网 地 址 ”来 代 
表 “192.168.1.0/24” 之 类 的 具体 数值 。 同 理 还 
有 “外 网 地 址 ”和 “DMZ 地 址 ”。 
































图 13-6 DMZ 网 络 拓扑 图 





对 于 防火 墙 , 原则 之 一 就 是 默认 禁止 所 有 数据 通信 ,然后 再 打开 必要 的 通信 。 所 以 在 防火 墙 
脚本 的 最 初 ， 需 要 清空 系统 原 有 的 规则 ， 然 后 将 INPUT、OUTPUT、FORWARD 的 默认 规则 设 








置 为 丢弃 所 有 数据 包 。 
D 防火 墙 基 本 设置 
对 应 的 防火 墙 脚本 片段 如 下 : 


t Flush out the tables and delete alluser-definedchains 


/sbin/iptables F 
/sbin/iptables -X 
/sbin/iptables -t nat -F 


/sbin/iptables -t nat -X 
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# Drop every packet 

/sbin/iptables -P INPUT DROP 

/sbin/iptables -P OUTPUT DROP 

/sbin/iptables -P FORWARD DROP 

2) 六 种 打上 略 的 其 体 实现 

(1) 内 网 可 以 访问 外 网 。 

对 应 的 防火 场 脚 本 户 段 如 下 : 

/sbin/iptables -t nat -A POSTROUTING -s [内 网 地 址 ] -a [外 网 地 址 ] -oeth0-j SNAT 
--to [NAT a IP] 

当 数 据 从 连接 外 网 的 eth0 流 出 时 ,要 将 来 目 内 网 的 数据 包 的 源 地 址 改 成 Internet 上 的 真实 卫 ， 
这 样 才 能 和 外 网 的 主机 进行 通信 。“NAT 的 真实 卫 ” 表 示 分 配给 NAT 用 户 的 真实 卫 ， 有 几 个 就 
GILT AFEN: BEDRES. 

(2) 内 网 可 以 访问 DMZ. 

对 应 的 防火 墙 脚 本 厂 段 如 下 : 

/sbin/iptables -A FORWARD CC ET 

以 上 命令 允许 所 有 来 目 内 网 、 目 的 地 为 DMZ 的 数据 包 通 过 。 

(3) 外 网 不 能 访问 内 网 。 

对 应 的 防火 场 脚 本 户 段 如 下 : 

/Sbin/iptables -t nat -A PREROUTING -s [外 网 地 址 ] -a [内 网 地 址 ] -i eth0-jDROP 

以 上 命令 将 来 目 外 网 、 去 往 内 网 的 数据 包 全 部 丢 奔 。 

(40 外 网 可 以 访问 DMZ. 

为 了 保护 DMZ 中 的 服务 器 ， 外 网 对 DMZ 的 访问 也 要 加 以 限制 。 通 第 的 思路 是 ， 只 允许 外 
网 访问 DMZ 中 服务 费 所 提供 的 符 定 服务 ， 比 如 HTTP. 

对 应 的 防火 场 脚 本 户 段 如 下 : 

/sbin/iptables -t nat -A PREROUTING -p tep | Hy 
Internet 上 的 真实 ITB] -s [外 网 地 址 ] -i ethO -j DNAT--to[HTTP 服务 内 的 实际 IP] 














/sbin/iptables -A FORWARD -p tcp -s [外 网 地 址 ] -d [HTTP 服务 器 的 实际 IP]-iethO 
--dport 80 -j ACCEPT 

/sbin/iptables -A FORWARD -p tcp -d [外 网 地 址 ] -s [HTTP 服务 器 的 实际 IP] -iethl 
--sport 80 ! --syn -j ACCEPT 

/sbin/iptables -t nat A PREROUTING > [Nub] -d (DMZ Hi -ieth0-j DROP 

VA ARSTALAS Fr RAAF HTTP 服务 ， 使 得 只 有 访问 DMZ 中 HTTP 服务 的 数据 包 才 能 通过 
npe T 

(5) DMZ 不 能 访问 内 网 。 

XE NC JT Jet ALAS Fr BUE P: 


/sbin/iptables -A FORWARD -s [DMZ 地 址 ] -a [内 网 地 址 ] -i ethi -jDROP 
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以 上 命令 将 丢弃 所 有 从 DMZ 到 内 网 的 数据 包 。 

(60 DMZ 不 能 访问 外 网 。 

XI NLB Bj AG ALAS Fr BEAH P: 

/sbin/iptables -t nat -A POSTROUTING -p tcp --dport 25 -d[ 外 网 地 址 ] -s [邮件 服 
FAJ IP] -o eth0 -j SNAT --to [分 配给 SMTP REA] Internet 上 的 真实 IP] 

/sbin/iptables -A FORWARD -p tcp -s [邮件 服务 器 的 IP] -a [外 网 地 址 ] -ietni--dport 
23 — NCC 

/sbin/iptables -A FORWARD -p tcp -d [邮件 服务 器 的 IP] -s [外 网 地 址 ] -ieth0--sport 
25 Il ess —3 ACCHET 

以 上 命令 先 允 许 DMZ FMRE IERS AA] SMTP 服务 端口 (25)〉 ， 然 后 禁止 其 他 从 
DMZ 发 往外 网 的 数据 包 。 

针对 以 上 基本 策略 列举 了 实现 它们 的 基本 规则 .在 实际 应 用 中 , 需要 根据 具体 情况 进行 设置 。 
只 要 设置 得 当 ，Linux 也 能 成 为 很 好 的 防火 墙 。 需 要 补充 的 是 ， 无 论 何 种 防火 墙 都 只 能 提供 有 限 
的 保护。 设置 好 防火 才 不 等 于 网 络 驶 是 安全 的 ， 关 键 在 于 综合 运用 各 种 安全 手段 。 





























13.6 防火墙 的 实际 安全 部 署 建议 


防火 墙 在 实际 的 部 署 应 用 过 程 当中 , 经 常 部 署 在 网 关 的 位 置 , 也 就 是 在 网 内 和 网 外 的 一 个 “中 
间 分 隔 点 ”上 ， 而 就 是 在 这 样 一 个 部 署 环境 中 ， 也 还 存在 着 多 种 方式 ， 且 存在 着 许多 “陷阱 ”， 
F 面 进行 详细 分 析 。 
13.6.1 方案 一 : 错误 的 防火 墙 部 署 方式 


传统 的 防火 墙 部 团 方 式 可 能 所 有 人 都 认为 非常 斧 单 ,将 防火 墙 部 团 于 外 部 网 络 和 内 部 网 络 之 
间 。 这 个 思路 如 果 在 内 部 网 络 中 存 
在 共享 资源 (比如 说 FTP 服务 器 和 
Web 服务 器 ) 的话， 那么 这 将 是 一 
个 非常 危险 的 部 署 方式 ， 如 图 13-7 
所 示 。 理 由 其 实 非常 人 简单， 一 旦 这 
些 共 享 服务 器 被 黑客 攻击 和 安装 木 
马 渗透 病毒 的 话 ， 那 么 内 部 网 络 的 
客户 六 及 其 资源 将 没有 任何 安全 可 
言 。 因 为 在 这 种 情况 下 ， 木 马 和 病 
毒 已 经 在 内 网 中 存在 ， 而 客户 闫 和 
共享 资源 服务 器 在 同一 个 网 段 ， 这 
无 异 于 内 网 的 安全 隐患 ， 防 火 墙 对 
此 无 能 为 力 ， 从 而 也 失去 了 部 署 的 
AX. 图 13-7 错误 的 防火 墙 部 署 方式 
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13.6.2 方案 二 : 使 用 DMZ 






目前 一 个 比较 流行 和 正确 的 做 
法 就 是 采用 13.5 节 介 绍 的 采用 DMZ 
防火 墙 部 署 方式 ， 如 图 13-8 所 示 。 
也 就 是 在 防火 墙 上 多 加 一 块 网 卡 , 把 
提供 对 外 服务 的 服务 器 和 内 网 的 客 
户 端 严格 地 隔离 开 来 ， 这样， 即使 有 
安全 风险 和 漏洞 在 DMZ 中 出 现 ， 由 
此 对 内 部 网 络 造成 的 危害 也 可 以 得 iod 
到 很 好 的 控制 ,从 而 避免 了 方案 一 的 

缺点 。 


外 部 网 络 
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图 13-8 使 用 DMZ BB; KKA A X 


13.6.3 方案 三 : 使 用 DMZ+ 二 路 防火 墙 


为 了 加 强 方案 二 中 防火 墙 的 安全 
强度 ， 目 前 有 些 企业 将 图 13-8 所 示 的 
架构 优化 成 图 13-9 所 示 的 架构 ， 也 就 
是 使 用 DMZ+ 二 路 防火 墙 。 男 外 ， 在 
此 结构 中 选用 防火 墙 ， 应 尽量 采用 两 
家 不 同 公司 的 产品 ， 这 样 才 有 利于 发 
挥 这 种 架构 的 优势 。 
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图 13-9 ”使 用 DMZ+ 一 路 防火 墙 的 部 署 方式 
13.6.4 方案 四 : 通 透 式 防火 墙 

在 前 面 的 几 种 方案 中 , 防火 墙 本 身 就 是 一 个 路 由 器 , 在 使 用 的 过 程 中 用 户 必 须 慎重 地 考虑 到 
路 由 的 问题 。 如 果 网 络 环境 非常 复杂 或 者 是 需要 进行 调整 ， 则 相应 的 路 由 需要 进行 变更 ,维护 和 
操作 起 来 有 一 定 的 难度 和 工作 量 。 

如 图 13-10 所 示 的 通 透 式 防火 墙 则 可 以 比较 好 地 解决 上 述 问题 ， 该 类 防火 墙 是 一 个 桥接 设 
备 ， 并 且 在 桥接 设备 上 赋予 了 过 滤 的 能 力 。 由 于 桥接 设备 工作 在 OSI 模型 的 第 二 层 (也 就 是 数据 
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链 路 层 ) ， 所 以 不 会 有 任何 路 由 的 问题 。 并 且 ， 防 火 墙 本 身 也 不 需要 指定 IP 地 址 ， 因 此 ， 这 种 
防火 墙 的 部 绪 能 力 和 隐 密 能 力 部 相当 强 ， 从 而 可 以 很 好 地 应 对 黑客 对 防火 墙 目 喘 的 攻击 ， 因 为 河 
客 很 难 获得 可 以 访问 的 全 地址。 











外 部 网 络 





通 透 式 防火 场 


开放 陈 网 络 环境 








, 客户 端 、 
FTP 服 务 器 Web 服 务 器 客户 端 


图 13-10 通 透 式 防火 场 部 署 方式 
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铜墙铁壁 : 企业 立体 式 入 侵 检测 


及 防御 


* 


本 章 导 起 


Mt 


在 实际 的 入 侵 检 测 及 防御 体系 的 构建 中 ， 有 的 以 
网 络 为 主 ， 进 行 网 络 威胁 的 发 现 和 封 堵 ， 有 的 以 主机 
防御 为 主 ， 主 要 保证 主机 不 遭受 入 侵 。 如 果 仅 针对 其 
中 一 方面 进行 构建 的 话 , 则 会 存在 偏差 ,对 于 企业 500 
强 企业 来 说 ,建议 综合 多 方面 的 信息 ， 进 行 纵深 的 综 
合 性 防御 ， 这 样 才能 起 到 很 好 的 效果 。 
在 开源 系统 中 , 例如 Linux 操作 系统 中 , 从 应 用 到 
内 核 层面 上 提供 了 三 种 入 侵 检 测 系统 来 对 网 络 和 主 
机 进行 防御 ， 它 们 分 别 是 网 络 入 侵 检测 系统 Snort, E 
机 入 侵 检 测 系 统 LIDS 以 及 分 布 式 入 侵 检 测 系 统 
SnortCenter。 其 中 . 
» Snort 专注 于 在 网 络 层面 进行 入 侵 检 测 。 
a LIDS 则 侧重 于 在 主机 层面 进行 入 侵 检 测 和 
VEM 
» — SnortCenter 则 是 为 了 在 分 布 式 环境 中 提升 
入 侵 检 测 的 实时 性 和 准确 性 的 一 种 分 布 式 
检测 机 制 。 
本 章 将 依据 这 三 种 入 侵 系 统 ， 就 如 何 配置 、 部 于 
和 使 用 对 它们 进行 详细 介绍 。 
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入 侵 检测 技术 简介 


本 节 内 容 参 考 2.4.1 T. 


EZE 网 络 入 侵 检测 及 防御 : Snort 


14.2.1 安装 Snort 


说 起 Snort, 1R £ XS E Im P AESMA 
喷气 猪 造 型 。 没 错 , HE Snort 的 吉祥 物 , 如 图 14-1 所 示 。 
一 般 市 面 上 的 介绍 都 把 Snort 说 得 好 像 是 纯 个 人 开发 的 开源 
玩具 一 样 ， 其 实 它 很 实用 ， 而 且 有 一 家 名 叫 Sourefire 的 上 
市 公司 在 负责 研 友 和 升级 工作 。 这 个 工具 本 里 是 免费 的 ,可 
以 在 任何 操作 系统 上 运行 , 包括 Windows 和 Linux, 但 是个 图 14-1 Snort 吉祥 物 
人 认为 它 的 配置 过 程 还 是 比较 复杂 的 。 

Snort 有 三 种 工作 模式 : 咒 探 器 、 数 据 包 记录 占 和 网 络 入 侵 检 测 系 统 。 咒 探 右 模式 仪 仪 古 从 
网 络 上 读 取 数据 包 并 作为 连续 不 断 的 流 显 示 在 终端 上 ; 数据 包 记 录 噩 模式 把 数据 包 记 录 到 便 盘 
E; 网 络 入 侵 检 测 模 式 是 最 复 洒 的， 我 们 可 以 让 Snort 分析 网 络 数据 流 以 匹配 用 户 定 义 的 一 些 规 
则 ， 并 根据 检测 结果 采取 一 定 的 动作 。 

虽然 这 几 年 Snort 一 直 在 推陈出新 ， 但 是 安 闭 Snot 总 体 来 说 还 是 具有 一 定 技 术 含 量 的 。 安 
装 命 令 如 下 ， 首 先 需 要 确定 机 器 上 已 经 安装 了 zlib、libpcap、MySQL、Apache、PHP 和 其 他 多 种 
底层 开发 工具 和 开发 库 : 


| 









































由 re 


PR no IA HEAEHEEHERERHBERBRERRHEHBERBRERHBERREHBREHRBRERRERRBEHREREEHEEE [1003] 
1:snort TA HEEEEREREHEHERHEREBEHEHERERRERRERERBREREREHBERHEBHEE E B EB EE [1003] 

/ / 35 MySQL 数据 库 

[root(localhost ~]# rpm -ivh snort-mysql-2.8.6-1.RH5.1386.rpm 

E doo s v I AHEEHBEHERERHEHBERRERBHEREREREHBREHBREHREHRERHBRERRHEREHE HN BEBE [1008] 
1:snort-mysql EEEE EEE EEEE EEEE EE EEE EE EEE EEFE [1003] 


14.2.2 配置 Snort 


配置 Snort 的 步骤 比较 多 ， 主 要 有 以 下 几 个 步骤 。 
(15 修改 Snort 的 配置 文件 snort.conf( 见 图 14-2) : 


[en 
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$ VRT Rule Packages Snort.conf 

$ 

$ For more information visit us at: 

# http: //www.snort.org Snort Website 

8 http: //vrt-sourcefire.blogspot.com/ Sourcefire VRT Blog 
# 

8 Mailing list Contact: snort-sigsflists.sourceforge.net 
# False Positive reports: fplBisourcefire.com 

# Snort bugs: bugssnort.org 

# 

# Compatible with Snort Versions: 

# VERSIONS : 2.9.0.3 

# 

大 Snort build options: 

$ ÜPTIONS : --enable-ipv6 --enable-gre --enable-mpls --enable-targetbased --enable-decoder-preprocessor-rules --enable-ppm --enable-perfprofiling --enable-zlib --enable-active-response --enable-no: 
malizer --enable-reload --enable-react --enable-flexresp3 


BESSSSSSSESSESSSESESESSSESESESSESESESESESESESEEEESEN 
$ This file contains a sample snort configuration. 
$ You should take the following steps to create your own custom configuration: 


# 

$ 1) Set the network variables. 

$ 2) Configure the decoder 

$ 3) Configure the base detection engine 

$ 34) Configure dynamic loaded libraries 

$ 5) Configure preprocessors 

$ 6) Configure output plugins 

$ 7) Customize your rule set 

# 8) Customize preprocessor and decoder rule set 
# 9) Customize shared object rule set 
PESESESESESSSESESSESESESESESEEEESESESESESEESESESESE 


SSESESSESESSESSESSSESESESESESESESSESESEEESEESEESEEES 
$ Step $1: Set the network variables. For more information, see README.variables 
SESSSSESESESSSSSESESESSHESESESESESESHSESESESESESESEEEESEN 


# Setup the network addresses you are protecting 
ipvar HOME NET any 


图 14-2 ”修改 配置 文件 
(2) 配置 规则 :在 配置 文件 中 有 两 类 规则 : alert 和 log， 我 们 在 下 面 加 一 条 语句 即 可 。 


ree emsossss lesu. «el rue. ue Usermm Plunder Ec Ee 





dbname=<name> host=<hostname> 


s SUE le al ye 9 Sewmme Ics SWOIeE «oss wor ec Bb 


dbname=<name> host=<hostname> 
比如 我 们 加 这 么 一 条 语句 : 


output database: log, mysql, user=root  password-xxxxxx dbname=snort 


Host localhost 
(3) 使 规则 生效 ， 把 下 和 面 语句 前 面 的 “#” 去 挥 即 可 : 
We UE ek o Te TPLIL SS 
sti edere RUL? PART DAC OOT rules 
ee 
ne 
ne 


include PRUTE FEATH iac rU es 


Sia Ga co oa do dk 


Tne d SUI E, REA ene 1st EO) o 36 1 Les 
acik UL aru ce ILS 

$à include SRULE PATH/chat.rules 

Hine ide E RUTE TEATE qme loves mer ce obl 
*? include SRULE PATH/p2p.rules 

(4) 创建 Snort 的 数据 库 : 
车 


Enter password: 


401 


E Linu 安全 运 维 理念 和 实战 


## 输入 密码 ， 登 录 MySoL， 创 建 Snort 的 数据 库 


Welcome to the MySQL monitor. Commands end with ; or Ng. 


Your MySOL connection 1d 1s 3? Co server version: 5.0.22 


Te el oue dare oar hee ere ^ e o aea a e a. 


wecli e eese arabas Snor; 


Query OK, 1 row affected (0.00 sec) 


rs use Snort, 


Database changed 


mysgl- grant create, unser selecti delete, updale on senorto to SNOL; 


Query OK, 0 rows affected (0.01 sec) 


mysql -grant creale, insert, selecti, delete, update on snort. to smoctrgltecesi host 


Query OK, 0 rows affected (0.00 sec) 


Invio zet password for enema localhost = password oo 


Query OK, 0 rows affected (0.00 sec) 


myo > Sel OdeSworoior eo more n i ebasswostciu 2575612 


Query OK, 0 rows affected (0.00 sec) 


mysql» flush privileges; 
Query OK, 0 rows affected (0.00 sec) 


HA SEU RI 14-3 PTZ 


mysql? create database snort; 
Query OK, 1 row affected (0.02 sec) 


L LI 
ent database: 


mysql? grant create, insert, select, delete, update on snort.* to snort; 
Juery OK, 0 rows affected (0.05 sec) 


grant create, insert, select ,delete,update on snort.* to snortülocalhos 
, 0 rows affected (0.00 sec) 


rd for ' snort ocalhost! = password 123456); 
affected (0.02 sec) 


ql> set password for ' snort’ ( W = password( 123456 ); 
Juery OK, 0 rows affected (0.00 sec) 





图 14-3 JÆ Snort 的 数据 库 
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WA TS Te el 
Database changed 
Ne ne A a ee 


Query OK, 0 rows affected (0.00 sec) 


Query OK, 1 row affected (0.04 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, O0 rows affected (0.01 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.01 sec) 
Query OK, O0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.01 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.01 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 1 row affected (0.01 sec) 
Query OK, 1 row affected (0.00 sec) 


Query OK, 1 row affected (0.00 sec) 
Query OK, 0 rows affected (0.00 sec) 
Query OK, 1 row affected (0.00 sec) 
Query OK, 1 row affected (0.00 sec) 
mysql» 

## 这 样 Snort 数据 库 里 面 束 已 经 导入 了 数据 表 了 


my E 





Bye 
## 到 这 里 ，Snort AEM Eu S 


(5) 创建 Snort 访问 的 用 户 : 

[root8localhost schemasli htpasswd < /etc/httpd/conf/htpasswd apacheman 
New password: 

Re-type new password: 


Adding password for user apacheman 
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// 配 置 nttpd， 并 开启 该 服务 


[rootülocalhost schema l vim /etc/httpd/conf/httpd.conf 


[root8localhost schemas]# chown apache.apache /etc/httpd/conf/htpasswd 


[root8localhost schemas]# etc/init.d/httpd restart 


//T$Vl Snort 的 规则 库 


tar zxy one Des boc deba enc 


cp rules/* /etc/snort/rules 


把 规则 库 都 复制 到 Snort Hy rules 文件 夹 下 。 





// 显 示 Snort 规则 库 


[rootlocalhost 


[rootlocalhost 


[rootülocalhost 
[rootlocalhost 
[rootülocalhost 
[rootlocalhost 


admin 


base ag common.php 
base ag main.php 
base common.phyp 
Se Om et i Cd 
base db common.php 
basc TADE ken nor DNE 
ortae ee S ph 
le el Tu 
base graph common.php 


bogsemandpokeduspiuvsoWo en sc Lr 


base]4 cd 
base]£t 
html]4 mv 
html] # mv 
html]£$ ed 


base]4 ls 


Sace raph edm inte 


pasesbdr2php 


locare TE Imp 


Pasc rary Connon php 


Dace 0 a pu 


pacer Nhar le oh 


和 


ee 


Dase payload php 


Pacen i DD 


/var/www/html 


dolce oe Clos EOZ 


or ll | SUED 
base-1.2.6 base 


base 


bocc moe eel 
lo Cm el 
0 3 ee 
base statoecommon pL 
le le le a el lr 
Doe El Hg nde TOY: 
pase Ter doom SE 
om eS momo 
le Elmer qolmo 
Decco lc ll 


Se 


ooreo iho el ereon hem 0 Sb OI 


人 


CO o) 
四 es 

help 
images 
includes 
index.php 
languages 
ET 
setup 

sol 


styles 
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SDBlib path -» "/var/www/html/adodb"; 
caler doume = 'enorkr'; 

Is = loads 
Salert port = 

“Salar Uer = 


Salert password - '123456'; 


/* Archive DB connection parameters */ 


SEUPCIINMS. Sli s exe ihis eror db big you hae an cuero hive DB 
Sarchive dbname — "suo. 

a e a aie fere = "localhost" s 

sarchive port A4. 

Semon ve Uem = 


sare Mne Wo | Sdn ur 


SChartLib path /rm le 
配置 的 部 分 结 来 如 图 14-4 所 示 。 

(6) 局 动 MySQL 数据 库 : 

[root@localhost base]# service mysqld start 


[IrooEQlocalhnost Daselt service hitpd start 


如 图 14-5 和 图 14-6 所 示 。 





Basic Analysis and Security Engine (BASE) 1.2.6 (christine) - Wozilla 41233175 


THO a0) SEV PO HEO IAN éBhoD 
ET CXA $* |] | http: //182. 168. 0. 20/base/base_main. php 


访问 最 多 | ] 新 手 上 路 a 最 新 头条 





























ea 110 9:000 SA ot um LCS 
| B Basic Analysis and Security z| +| [- 











Basic Analysis and Security Engine (BASE) 


The underlying database snort@localhost appears to be incomplete/invalid. 


The database version is valid, but the BASE DB structure (table: acid ag)is not present. Use the Setup page to configure and 
optimize the DB. 


$alert dbname 
$alert host 
$alert_port 
$alert_ user 
$alert password 


C 
图 14-4 配置 的 部 分 结果 图 14-5 结 


进入 Setup page 链接 。 
单 击 Create BASE AG 按钮 ， 如 图 14-7 所 示 。 
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Basic Analysis and Security Engine (BASE) : DB Setup 一 Mozilla Firefox 


THO RO 查看 WW) PLO 书签 8) IAW $Bh00 


o- (s x PA % E http: //192. 168. 0. 20/base/base_db_setup. php rd ~ 


园 访问 最 多 | | 新 手 上 路 o 最 新 头条 

Goge| č — à à ë J932 Jo- AP A- o Bim vv 窗口 :> 六 -图 ea 

[near RM 
Basic Analysis and Security Engine (BASE) 


°) Basic Analysis and Security Engine (BASE) : DB Setup 一 Mozilla Firefox 





文件 多) S480) SEV 历史 (5) HEO IA 和 才 助 人 0 


e - c x A. % [DD [http:/7192. 168. 0. 20/base/base_db_setup. php 


园 访问 最 多 | |] 新 手 上 路 o 最 新 头条 


Googe, 0 c eR-$96-G P A- o BB 











Home | Search F Basic Analysis and Security E--- 
[ Back ] : . : " 
Basic Ànalysis and Security Engine (BASE) 
Operation Description Status Home | Search 
BASE Adds tables to extend the Snort DB to support the BASE Create BASE AG 
tables functionality 
Alert Group Maintenance | Cache & Status | Administration 


Successfully created ' acid ag 

Successfully created ' acid ag alert! 
Successfully created 'acid ip cache' 
Successfully created ' acid event' 
Successfully created 'base roles 
Successfully INSERTED Admin role 
Successfully INSERTED Authenticated User role 
Successfully INSERTED Anonymous User role 
Successfully INSERTED Alert Group Editor role 
Successfully created ' base users' 


BASE 1.2.6 (christine) (by Kevin Johnson and the BASE Project Team 
Built on ACID by Roman Danyliw ) 





[Loaded in 0 seconds] 





G4 — ————————— — Ts Tee 及 
14-6 Setup page 链接 14-7 弹出 页 面 
生成 角色 和 用 户 等 信息 ， 如 图 14-8 所 示 。 
这 个 时 候 Snort 还 没 开始 工作 ， 但 是 已 经 可 以 访问 了 。 
如 图 14-9 所 示 ， 用 户 名 输入 apacheman， 密 人 码 输 入 xxxxxx« 


(BASE) 1.2.6 (christine) — Mozilla Firefox 


文件 @) REO SEV PRO ”书签 @) IAW HHW 























Basic Analysis and Security Engine 





401 Authorization Required — Yindows Internet Explorer 















cx hee mw or P GJO Te sr) 169.027 
园 访问 最 多 |) 新 手 上 路 o 最 新 头条 XH Gc SEV (uxo IRD WR 


XFO REO SEV WuRXQ) IAW B0 
ARER |b GELAS p] 网 页 快讯 库 > 











Google | z] sm do- t MO Bree n pE cs YRS o- aml- E By - 5 $-Oss- 


|]Basic Analysis and Security E--- A 


O ETES... 




















Authorization Required 


unique listing Source IP Destination IP 连接 到 192. 168. 0.20 


unique listing Source IP Destination IP Database: BESIPE This server could t 
unique listing Source IP Destination IP i 


i B * | 
一 \ 
any protocol TCP ICMP credentials require. A 
any protocol TCP 


any protocol TCP 


any protocol TCP Apache/2.2.3 (Rev 位 于 snort 的 服务 器 192. 168.0.20 要 求 用 户 名 和 密码 


ey id TANI ne mpi ER 
; 务 器 要 求 以 不 方式 发 送 您 的 用 户 名 和 
LOU UM 
RP3 w: E: 


EQ. 















Source Destination 


- Most frequent 5 Unique Alerts 











Sensors/Total: 0 / 0 Traffic Profile by Protocol 
Unique Alerts: 0 TCP (0%) 

Categories: 0 

Total Number of Alerts: 0 








UDP (0%) 
* Src IP addrs: 0 


* Dest. IP addrs: 0 
& lniana ID linko N ICMP (0%) 


Br E ; 











K|14-8 ”生成 角色 和 用 户 信息 14-9 ”输入 用 户 和 密码 
j& sl E] 14-10 所 示 的 这 种 出 错 情况 的 话 , 很 有 可 能 是 acid confphp 文件 没有 修改 。 我 们 把 文 





件 中 的 “$alert dbname= "snort log"" ; 改 成 “$alert dbname- "snort"; ”。 
如 图 14-11 所 示 ， 现 在 可 以 访问 了 了。 执行 : /usr/sbin/snort -i ethO -c /etc/snort/snort.conf -D。 


Analysis Console for Intrusion Databases (ACID) - Findows Internet Ezplorer 





Analysis Console for Intrusion Databases (ACID) - Yindows Internet Ezplorer 


[a] [n [x] p Google 








Ko» Y 32 |Æ] http: //192. 168. 0. 20/acid/acid main. php ð m [Bj 加 [x] p Google 


Æ] http: //192. 168. 0. 20/acid/acid main php m 








350 WA SEU mrw IA wo | mo Wb Tiv o IAD Shi 
TRER [us GLUMA- p FUTURE ~ TRER |G 候 建 议 网 站 。 县] 网 页 快讯 库 


Æ inalysis Console for Intrusion Databases ... c T = = ~ Wmo- Z267 工具 @) ~ e- (B inalysis Console for Intrusion Databases ... ta T za-T Lj ~ REC- *£6G6- IRO- @- 


Analysis Console for Intrusion Databases Analysis Console for Intrusion Databases 


Error (p)connecting to DB : snort_log@localhost Added 0 alert(s) to the Alert cache 


Check the DB connection variables in acid conf.php Queried on : Wed May 05, 2010 01:54:25 

Database: snort()localhost (schema version: 0) 
$alert dbname : MySQL database name where the alerts are stored Time window: no alerts detected 
$alert host : host where the database is stored Sensors: 0 Traffic Profile by Protocol 
$alert port : port where the database is stored Unique Alerts: 0 TCP (0%) 
$alert_user : username into the database Total Number of Alerts: 0 
$alert password : password for the username 





UDP (0*5) 
e Source IP addresses: 0 


: i * Dest. IP addresses: 0 
Database ERROR:Access denied for user 'root'@'localhost' (using password: YES) Unique IP links 0 ICMP (0%) 
Source Ports: 0 "a---—————————— —— 

o TCP (0) UDP (0) Portscan Traffic (0%) 
Dest. Ports: 0 


d zi 
ER 0 | | | | | EE: IZ PFE o DETDIDTUCDMme LE 


14-10. 出错 情况 14-11 访问 正常 
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and Security Engine (BASE) 1.2.6 (christine) — Findows Internet Ezplorer 


go- Æ) http://192. 168. 0. 20/bas 


se/base_main. ph 


现在 Snort 开始 工作 了 。 我 们 来 看 看 Se M me eme m 








dyduEX | 次 GSA- p] 网 页 快讯 库 > 


曲线 图 的 功 能 是 否 可 以 运行 起 来 5 fÉi Basic Analysis and Security Engine (BASE)... A-D- Oe- mX&o- z207 IAO0- 6- 


Sensors/Total: 1 / 1 
Unique Alerts: 7 
Categories: 4 

Total Number of Alerts: 83 


e Src IP addrs: 7 
e Dest. IP addrs: 5 
e Unique IP links 8 


e Source Ports: 3 

o TCP (2) UDP ( 1) 
e Dest Ports: 28 

o TCP (27) UDP ( 1) 





Traffic Profile by Protocol 
TCP (33%) 


UDP (53%) 


ICMP (14%) 
BE 


Portscan Traffic (0%) 








Alert Group Maintenance | Cache & Status | Administration 








如 果 出 现 图 14-13 这 个 错误 。 只 要 使 ar 00 








mi 


Internet Explorer 





e v |E) http://192.168.0.20/acid/acid graph main. php 








文件 @) RED SEV KERA IAV 帮助 
用 如 下 命令 : QRR | 次 GL- p) 网 页 快讯 库 > 


(B ACID: Graph Alert Data 


A-E)-oc eme- NEQO- €e£9- IRO- O- 


œo Graph Alert Data 


[ Back ] 


Error loading the Graphing library: from "/jpgraph.php" 


Check the Graphing abstraction library variable $ChartLib pathin acid conf . php 


The underlying graphing library currently used is JPGraph, that can be downloaded at http://www.aditus.nu/jpgraph/index.php. Without 
this library no graphing operations can be performed. 





l^] 


moor oe omnes exenbel]ss war Bxesueb exeat solae 
修改 成 下 面 路 径 即 可 : 


Earl pata an ga Te 





从 图 14-14 可 以 看 到 , 现在 这 个 功能 。 rss 


XFO REO SEV 历史 (8) HE0 IAO ”帮助 0 








14-13 ”出 错 页 面 








已 经 实现 了 。 


园 访问 最 多 | | 新手 上 路 o 最 新 头条 


o- C x a «v |] | http://192. 168. 0. 20/acid/acid graph main. php 














|] ACID: Graph Alert Date 


+l 





Google | 清扫 过 -小 三- A 同 - b Bim 安 o YE G4 BR» & erem 













^» Graph Alert Data | 


Added 0 alert(s) to the Alert cache 


ACID Chart 
[chart type } 
600 400 










{ data source (AG) } v 


E * * 
{day} v (year) 7 
{day} v {year} v] Graph Alerts 
pec —NÜ RED p c qq 







[ Back ] 


S no period S 





到 
á 


[v [ro m [elo 


14-14 ”实现 曲线 图 功能 


EEJ 编写 snort 规则 


Snort 规则 一 般 是 一 行 一 条 ， 规 则 尖 包 含 规则 的 动作 、 协 议 、 源 和 目标 人 P 地 址 、 网 络 掩 人 码 ， 
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以 及 目标 端口 信息 ;规则 选项 部 分 包含 报警 消息 内 容 和 要 检查 的 包 的 具体 部 分 。 
14.3.1 规则 动作 


对 于 匹配 特定 规则 的 数据 包 ，Snort 有 以 下 5 五 种 处 理 动作 。 

» alert: 使 用 选择 的 报警 方法 生成 一 个 警报 ， 然 后 记录 dog) 这 个 包 。 

a log: 记录 这 个 包 。 

mn pass: AF CHAK) 这 个 包 。 

» activate: 报警 并 且 激 活 另 一 条 dynamic 规则 。 

a dynamic: 保持 空闲 御 到 被 一 条 activate 规则 激活 ， 人 被 激活 后 就 作为 一 条 log 规则 执行 。 

除了 上 述 五 个 动作 外 ,用 户 还 可 以 定义 目 己 的 规则 类 型 并 且 附 加 一 条 或 者 更 多 的 输出 模块 给 
它 ， 然 后 束 可 以 使 用 这 些 规则 类 型 作为 Snort 规则 的 一 个 动作 。 

举例 如 下 : 


人 





Vor doas: sra EDT ET SUIT) 
上 面 规则 的 意思 是 : 192.168.0.0 这 个 网 段 到 192.168.1.0 网 段 任 何 一 个 22 端口 的 TCP 流量 ， 
只 要 里 面 有 符合 的 十 六 进 制 内 容 ， 残 记录 military incursion. 


14.3.2 ”协议 








每 条 规则 的 第 二 项 束 是 协议 项 。 当 前 ，Snort 能 够 分 析 的 协议 是 : IP. TCP, UDP 和 ICMP. 
将 来 可 能 会 提供 对 ARP、ICRP、GRE、OSPF、RIP、IPX 等 协议 的 支持 。 


14.3.3 IP 地 址 





规则 尖 下 和 面 的 部 分 就 是 IP HER Df ss eT] any 可 以 用 来 定义 任意 的 IP 地 址 。Snort 
不 文 持 对 主机 名 的 解析 ， 所 以 地 址 只 能 使 用 数字 /CIDR 的 形式 。/24 表示 一 个 C 类 网 络 ; /16 表示 
一 个 B 类 网 络 ， 而 /32 表示 一 合 特定 的 主机 地 址 。 例 如 : 

2 

在 规则 中 ， 可 以 使 用 否定 操作 符 (negation operator? 对 IP 地 址 进行 操作 。 它 告诉 Snort 除 
了 列 出 的 I 了 P 地 址 外 ， 匹 配 所 有 的 IP 地址。 否定 操作 符 使 用 “!” 表 示 。 

/ /下 面 这 条 规则 中 的 IP 地 址 表示 : 所 有 IP 源 地 址 不 是 内 部 网 络 的 地 址 ， 而 目的 地 址 是 内 部 网 络 地 址 。 

0 
msg:"external mountd access") (使 用 IP 地址 否定 操作 符 的 规则 》 

也 可 以 定义 一 个 他 地址 列表 AP list) . IP 地 址 列表 的 格式 如 下 : 

el CO Re eT CER 

需要 注意 的 是 : 每 个 IP 地 址 之 间 不 能 有 空格 。 例 如 : 

Be a A TO a Ne A | 














国人 


A E: 


^ 143 
铜墙铁壁 : 企业 立体 式 入 侵 检测 及 防御 BEEERKERNKNEEEENI 


14.3.4 “端口 号 





在 规则 中 ， 可 以 有 儿 种 方式 来 指定 闹 口 写 ， 包括 any, PAA mA y (static port) XE X... mH 
范围 ， 以 及 使 用 非 操 作 定 义 。any 表示 任意 合法 的 端口 号 ; 静态 端口 号 表 示 蛙 个 的 端口 号 , 例如 : 
111 (portmapper) 、23 (telnet) ~ 80 Chttp) 等 ;使 用 范围 操作 符 可 以 指定 问 口 号 范围 ， 有 几 种 
方式 来 使 用 疙 围 操作 符 “:” 达 到 不 同 的 目的 ， 例 如 : 

// 记 录 来 自任 何 端口 ， 其 目的 端口 号 在 1 一 1024 之 间 的 UDP 数据 包 

log udp any any -» 192.168.1.0/24 1:1024 

/ /记录 来 自任 何 端口 ， 其 目的 端口 写 小 于 或 者 等 于 6000 的 TCP 数据 包 

log tcp any any -> 192.168.1.0/24 :600 

// 记 录 源 端口 号 小 于 等 于 1024， 目 的 端口 号 大 于 等 于 500 的 TCP 数据 包 

log tcp any :1024 -> 192.168.1.0/24 500 

Ma EAE RXZSRAEBRTERE V" opm OIT JEXE AR ER TE. Cport negation) « 32 RE ERTEAR 
可 以 用 于 其 他 的 规则 类 型 〈 除 了 any 2878, ERAO . 例如， 如 果 要 日 志 除 了 X-Window 系 
统 问 口 之 外 的 所 有 端口 ， 可 以 使 用 下 面 的 规则 ; 


log tcp any any -> 192.168.1.0/24 !6000:60 10 (Aim OHTE EE) 












































14.3.5 方向 操作 符 ( direction operator ) 











方 回 操作 人 符 “->” 表 示 数 据 包 的 流 问 。 它 左边 是 数据 包 的 源 地 址 和 源 问 口 ， 右 边 是 目的 地 址 
和 曾 口 。 此 外 ， 还 有 一 个 双 回 操作 符 “<>”， 它 使 Snort 对 这 条 规则 中 ， 两 个 IP 地 址 / 问 口 之 间 
双 回 的 数据 传输 进行 记录 分 析 。 

// 下 面 的 规则 表示 对 一 个 telnet 对 话 的 双向 数据 传输 进行 记录 : 

0 Uh. 











14.3.6 activate/dynamic 规则 


activate/dynamic 规则 对 扩展 了 Snort 功能 。 使 用 activate/dynamic 规则 对 ， 能 够 使 用 一 条 规 
则 激活 另 一 条 规则 。 当 一 条 特定 的 规则 局 动 ， 如 果 想 要 Snort 接 看 对 符合 条 件 的 数据 包 进 行 记 录 
时 ， 使 用 activate/dynamic 规则 对 非常 方便 。 除了 一 个 必 选 的 选项 activates 外 ， 激 活 规则 Cactivate 
rule) 非常 次 似 于 报警 规则 Calert rule) 。 动 态 规则 (dynamic rule〉 和 日 志 规 则 (log rule) 也 很 
相似 ， 不 过 它 需 要 一 个 选项 : activated by。 动态 规则 还 需要 另 一 个 选项 : count。 当 一 个 激活 规 
则 局 动 , 它 束 打开 由 activate/activated by 选项 之 后 的 数字 指示 的 动态 规则 , 记录 count 个 数据 包 。 
下 面 是 一 条 activate/dynamic 规则 对 的 规则 : 


activate tcp !$HOME NET any -» $HOME NET 143 (flagsA; content:"|E8COFFFFFF 














| 

(activate/dynamic NMWA) 

上 上述 规则 使 Snort 在 检测 到 IMAP RA HW ABRIR, JPHGucka SRHy 50 个 从 
$HOME_NET 之 外 ， 发 往 SHOME NET 的 143 号 端口 的 数据 包 。 如 果 绥 冲 区 溢出 成 功 ， 那 么 接 
下 来 50 个 发 送 到 该 网 络 同 一 个 服务 病 口 〈 这 个 例子 中 是 143 sm HO 的 数据 包 中 ， 会 有 很 重要 
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的 数据 ， 这 些 数据 对 以 后 的 分 析 很 有 用 处 。 

在 Snort 中 有 23 个 规则 选项 关键 词 , DEAE Snort 不 断 地 加 入 对 更 多 协议 的 文 持 以 及 功能 的 扩 - 
展 ， 会 有 更 多 的 功能 选项 加 入 其 中 。 这 些 功能 选项 可 以 以 任意 方式 进行 组 合 ， 对 数据 包 进 行 分 类 
和 检测 。 现 在 ，Snort 文 持 的 选项 包括 : msg. logto. ttl. tos. id. ipoption. fragbits. dsize. flags. 
seq. ack, itype, icode、 icmp id. content. content-list, offset, depth. nocase. session. rpc. resp. 
react, ^R u]ep, AUEN [HIIS HOZH] XA. KAAP A WRAD CAD: ttl. 
tos. id. ipoption 等 ) 都 为 真 ，Snort 才 会 采取 规则 动作 。 


14.3.7 Snort 规则 简单 应 用 举例 








1. 拒绝 服务 攻击 的 规则 
拒绝 服务 攻击 的 规则 如 下 : 


a DOGUDPE Cnrenarag nom ee 


metadat: Polley ee urit Ipe roo referemnee ee | 0 00 -refterence eher I e ge 


635; classtype:attempted-dos; sid:271; rev:8;) 
2. SSH 攻击 报警 的 规则 


SSH 攻击 报警 的 规则 《经 各 家 人 用 扫描 融 扫 的 人 应 该 有 体会 ) 如 下 : 


Se 





goes hee p l one uname Maiorem nS erver eS ea lm he coneente. Unime me oa 

ente cites odii es 2o muc e Cleo S drop, policy elo die oe db ESOS drop, Policy 
gecuüurity ips drop i-ference:bugiraqgq, 909, reference: Cve, 009-9590 reference: 
Ewe 200270629 


A reference: meseus (lO classtype: misc attack sid: Lill rev: 2 


3. 对 ICMP 包 回 应 的 规则 
对 ICMP 包 回 应 的 规则 如 下 : 


uberes em Mm ee esaqs 0 


tee D NECESITE Dl ev 









































= E y: Ma Y x MZ - 2 - - E E. 5 5 x 
14- 1 5 7 Jw XE ICMP J 加 | W 截获 数据 的 asic and Security Engine (BASE) : Alert — Mozilla Firefoz -Ioj x| 
e Du A 文件 他) 编辑 区) SEVU PEO 书签 人 8) IAT) 帮助 出) 
W eb 效果 图 eo = c M (à $8 F) | http: //192. 188.0. 15/base/base qry alert. Y? ~ o. z| Google _ f 
a 访问 最 多 | | 新手 上 路 最 新 头条 
Google | M eR- dO- R A- b E xm » RS "vrir..- 
| L3 Basic Analysis and Security E--- | T | [= 
ID? | Time Triggered Signature aj 
2 - 129 [2010-06-03 05:54:18 |[local] [snort] ICMP Echo Reply 

















"me | Sensor Address |Interface | Filter 








Sensor 
| 192.168.0.15 | ethü | none 


























| Alert Group | none 





















Hdr DM 
Len FIF 


IP|| 192.168.0.15 | 192.168.0.31 | 4 [20 | o | 6o [14388 0 [64 [49442 


Source Address | Dest. Address |Ver TOS |length offset TTL |chksum 























D 












































| type |code [checksum lip |seq [i 
((0) Echo Reply (oo| 21415 [1]| 436 








ICMP 











| % e 设置 Firefox Sync: | FoxyProxy: 禁用 e O j 


图 14-15 ICMP 包 回 应 截获 数据 的 Web 效果 图 
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4. 对 DNS 包 回 应 的 规则 


对 DNS 包 回 应 的 规则 如 下 : 


第 143 


Ris 


企业 立体 式 入 侵 检测 及 防御 T 


alert udp SEXTERNAL NET 53 -» $SHOME NET any (msg:"DNS SPOOF query response with 


rL of 1 mins 
D0 00 00|" 5 


SUO, ne aO a e p a e a eer 


security ips drop, service dns; elasstyee bad unknown; 


: 14-16 是 DNS 包 回 应 截获 数据 的 Web 效果 图 。 





contents 1609] 0C 00 01 E00 
sido 2545 


contents “1/81 80 00 01 00 01 00 


metadata:policy 


rev:7;) 


述 规则 都 添加 在 /etc/snortbrules 文件 里 。 给 rules 文件 添加 规则 的 效果 网 如 网 14-17 所 示 。 





I) Basic Analysis 
TO 编辑 应) SEV PEE HEM IAM 帮助 加 


and Security Engine (BASE) : Alert — Mozilla Firefox 








2E. 


|] | http: //182. 168.0. 15/base/base 





BB cexans 

a 访问 最 多 | | 新 手 上 路 最 新 头条 
Google z| pes - 
| | | Basic Analysis 


go 2010-06-03 
135 06:10:53 


.qgry alert. 





^&- fu ap [3 - IUE E S - @ verir... 








and Security E-- -| + 








| [local] [snort] DNS SPOOF query response 
with TTL of 1 min. and no authority 














Sensor Address | Interface | Filter 





Sensor 











192.168.0.15 ethü | none 














Alert Group | none 


Source Address | Dest. Address Ver [T [TOS length | D Hr offset TTL |chksum 


IP 88.8.8 | 19216804 | 4 [20 | o | 74 [23850 | o [49 | 23485 


Options none 


| source port dest port length 
| 53 59441 | 









































68.0. 1/24 any 








alert icmp 192.16 
opts ; ipo e = , 





























le 设置 Firefox Sync | FoxyProxy: 禁用 [77 * Z 


| 
| 完成 % 





图 14-16 DNS 包 回 应 截获 数据 的 Web 效果 图 
14.3.8 Snort 规则 高 级 应 用 举例 





上 和 耐 介 绍 了 如 何 编写 Snort 规则 ， 
击 手 段 的 检测 的 例子 ) 来 说 明 如 何 灵 活 、 高 效 地 应 用 Snort 规则 。 
. 检测 尼 姆 达 大 病毒 
尼 姆 达 
是 在 扫 摘 的 时 候 、 
这 里 详细 前 述 ， 可 以 给 出 以 下 的 检测 规则 : 
80 443 8080 








Preprocessor ni EP decode: 
preprocessor minirag: 29 
preprocessor portscan: 


Prepr oces cor ou Neo sie 


alert icp any any m 
content: no NA ea 
alert icp any any > any B0 


content: syo Lemno md exero dar nocase;) 


alere rep any ony > ay eo 


alert icmp any any — any any 
1 h le vati On Ne tw 


iti type:0; reference:arachni y4 238; 





(msg:"W32/Nimda8mm WORM SCAN!"; 


(msg:"W32/Nimda8mm WORM SCAN!"; 


(msg:"W32/Nimda8ümm WORM TRANSFER!!"; 


Gu aed les 
cO ; depth:: PA class 


gi CMP PATH MTU : 


: , 576, E 


$HOME_NET any (msg: ICMP traceroute ip 
classtype:attempted 


图 14-17 给 rules 文件 添加 规则 的 效果 图 


下 面 再 给 出 儿 个 实际 应 用 中 的 例子 〈 儿 个 对 当前 主要 的 攻 





是 一 个 蜂 虫 病毒 ， 在 2001 年 的 下 半年 曾经 在 互联 网 上 奉 虚 。 尼 姆 达 的 检测 规则 主要 
运行 的 时 候 和 传播 的 时 候 。 由 于 该 病毒 的 机 理 比 较 复 杂 ， 


具体 的 分 析 过 程 不 在 


ne 


"Eso cre EE 


IPIE epe EAS 


"EE ecu ERU 
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content:"/root.exe?/ccttftp$20-i"; nocase;) 

alert tcp any any -» any 80 (msg:"W32/Nimda(mm WORM TRANSFER!!"; flags:PA; 
content:"/system32/cmd.exe?/cttftp£$20-i"; nocase;) 

alert tcp any any -» any 80 (msg:"W32/Nimda8mm WORM RUN!!!"; flags:PA; 
CONtene e nove 

alert tcp any any -» me rm WORM RUN!!!"; flags:PA; 
contemti MADOA dimer d T Te 

alert tcp any any -» any 80 (msg:"W32/Nimda8mm WORM RUN!!!"; flags:PA; 
content winWpsvstem,e CI s mocdse) 

alert ude any 69 -» any any (msg:"W32/Nimda(mm WORM TRANSFER!!"; flags:PA; 
Contente ED A MSGORIMSS BeOS EE 0A 0 

alert tcp any 80 -» any any (msg: "W32/NimdaG8mm WORM IN WEB SERVER! !"; flags:PA; 
Conbernbsv cwrxndowesobemüt"readmecemli Mey 

alert tcp any any -» any 25 (msg:"W32/Nimda8mm WORM MAILSEND!!"; flags:PA; 
content:"UgEAAIIF6Ild6FCNRfxQU2g/AA8AUINT";) 

alert tcp any 110 -» any any (msg:"W32/Nimda8mm WORM MAILRECV!!"; flags:PA; 
content:"UgEAAIIF6Ild6FCNRfxQU2g/AA8AUINT";) 


2. 检测 PHPUpload 溢出 攻击 

PHP 语言 为 用 户 提 供 了 上 传 文件 的 功能 ， 用 户 可 以 使 用 提供 的 类 进行 各 类 文件 、 档 案 的 上 
传 功 能 传送 数据 给 服务 器 。 然 而 ， 该 类 由 于 没有 对 上 传 文件 的 大 小 或 者 类 型 做 严格 的 判断 ， 在 程 
序 的 执行 过 程 当中 ， 有 可 能 造成 服务 器 问 的 组 种 区 溢出 ， 从 而 导致 缓冲 区 溢出 攻击 。 

PA tH; T8 id Ha GT Snort 检测 规则 : 


a NM msc EX PER MEN TA T PAP eoe 











oe poe TETON Ras nA C ONEEN e Cone ene DES Ce dt ONN a CONE Cl el 
Cem lv en o PpP i eatro bo kK erm e a A: Tl o c vera) 
以 上 规则 判断 提交 给 服务 喜 的 HTTP 请 求 中 是 侣 包含 “Content-Disposition:” 及 “form-data;” 
子 符 囊 ， 如 果 含 有 该 字符 各 的话， 对 于 菏 坚 没有 打 补 本 的 系统 来 说 可 能 会 造成 缓冲 区 深 出 攻击 。 
通过 添加 上 述 规则 ， 一 旦 发 现 客户 疹 有 此 操作 ， 则 Snort PERSE. 
3. 检测 SNMP 口令 溢出 漏洞 


简单 网 络 管理 协议 (SNMP) 是 所 有 基于 TCP/IP 网 络 上 管理 不 同 网 络 设 备 的 基本 协议 ， 比 
如 防火 墙 、 计 算 机 和 路 由 器 。 现 在 已 经 发 现 ， 如 果 攻 击 者 发 送 怀 有 恶意 信息 给 SNMP 的 信息 接 
收 处 理 模块 ， 就 会 引起 服务 停止 《拒绝 服务 ) 或 缓冲 区 洪 出 ; 或 者 说 通过 癌 运 行 SNMP 服务 的 
系统 发 送 一 个 畸形 的 管理 请 求 ， 此 时 怠 存 在 一 个 缓冲 区 溢出 漏洞 ， 或 者 造成 拒绝 服务 影响 。 一 旦 
缓冲 区 溢出 ， 可 以 获取 部 分 SNMP 口令 、 在 本 地 运行 任意 的 代码 以 及 让 攻击 者 进行 任意 的 操作 。 
因为 SNMP 的 程序 一 般 需 要 系统 权限 来 运行 ， 因 此 绥 冲 区 洲 出 攻击 可 能 会 造成 系统 权限 被 夺取 ， 
而 形成 严重 的 安全 漏洞 。 

下 面 给 出 一 条 检测 SNMP 口令 溢出 漏洞 的 Snort 规则 : 
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人 
COMMUN LEV SELINO uen OYLE ow Sm le eonmermi OZ O | d 
reference:url,www.cert.org/advisories/ CA-2002-03.html; reference:cve,CAN-2002- 
人 

以 上 规则 判断 发 往 SNMP 服务 关口 的 数据 包 中 古 合 包 售 “|02 01 00 04 82 01 00|” 二 进 制 串 ， 
此 串 对 应 SNMP 操作 的 分 文 位 置 。 事 实 上 由 于 SNMP 协议 的 灵活 性 ， 对 同一 分 文 位 置 在 SNMP 包 
里 可 能 有 不 同 的 表示 ，“|02 80 01 80 00 80 04 80 82 80 01 80 00|” 就 可 能 表示 的 是 同一 分 支 ， 更 粳 
的 是 还 有 更 多 的 表示 方法 ， 攻 击 者 完全 可 以 利用 这 种 协议 表示 上 的 灵活 性 逃 过 Snort HRM, E 
漏 报 。 因 而 要 完全 解决 这 个 问题 ， 单 纯 重 搜索 特定 串 是 不 行 的 ， 唯 一 可 行 的 方法 是 做 协议 解码 。 

4. 检测 /etc/passwd 文件 非法 访问 


在 Linux 系统 中 ，/etc/passwd 是 一 个 重要 的 文件 ， 它 包含 用 户 名 、 组 成 员 关 系 和 为 用 户 分 配 
的 shell 等 信息 。 黑 客 或 者 不 法 用 户 一 旦 获得 了 该 文件 的 访问 权 ， 束 有 可 能 针对 该 文件 进行 暴力 
攻击 或 者 是 字典 攻击 ， 获 得 系统 的 用 户 和 密码 ， 从 而 获得 系统 的 使 用 权 ， 对 系统 将 造成 极 大 的 威 
胁 。 因 而 ， 我 们 需要 对 /etc/passwd 文件 的 访问 进行 检测 。 

下 面 给 出 用 于 检测 /etc/passwd 文件 非法 访问 的 Snort 检测 规则 : 


abere eCo B ODER A C EM /ee 






























































PlagsU At content; /etc/passwd's noesses eclassbype:adttempted-recon; sud 22. 
reys 1) 

上 上述 规则 使 用 学 符 串 匹配 算法 对 包含 特征 码 (“/etc/passwd” 字 符 串 ) 的 HITP 请 求 进行 检 
测 ， 一 旦 发 现 非法 访问 ，Snort 立刻 报警 。 











EITS 主机 入 侵 检 测 及 防御 : LIDS 


ETIE 分 布 式 入 侵 检测 : SnortCenter 


14.5.4 分布 式 入 侵 检 测 系 统 的 构成 


分 布 式 Snort 入 侵 监 测 系统 的 主要 组 成 部 分 包括 中 央 分 析 服 务 右 、IDS 探 针 和 协同 代理 。 一 
般 情 况 下 ， 一 个 企业 的 网 络 可 以 分 为 外 部 网 络 、 企 业内 部 网 络 和 DMZ 区 等 。 入 侵 监 测 系统 既 可 
以 部 荀 在 防火 墙 之 外 , 也 可 以 部 普 于 防火 场 之 内 。 部 普 于 防火 场 乙 外 , 可 以 获得 更 多 的 攻击 数据 ， 
但 是 误 报 警 率 也 高 。 因 此 一 般 情 况 下 ， 入 侵 检 测 系 统 部 普 于 防火 增 乙 后 是 比较 明智 的 。 

中 央 分 析 服 务 妖 是 整个 系统 的 心脏 和 录 魂 ， 它 一 般 由 一 个 数据 库 系统 和 一 个 Web HAS s82H 
成 , 为 系统 官 理 员 所 供 交 互 式 Web 管理 界面 。 在 中 央 分 析 服 务 货 上 ， 管 理 人 员 可 以 进行 远程 IDS 
探 针 管理 、 攻 击 数 据 查 询 、 实 时 监视 网 络 攻 击 及 深入 分 析 ， 如 攻击 方向 的 迁移 、 识 别 攻 击 模 式 等 。 























413 


企业 Linux 安全 运 维 理念 和 实战 


MySQL 数据 库 、Apache 服务 器 、SnortCenter 和 ACID (Analysis Console for Incident Databases) 
是 一 个 不 错 的 Snort 平台 系统 组 合 。 

SnortCenter 是 一 个 基于 Web 的 Snort 探 针 和 规则 管理 系统 ,用 于 远程 修改 Snort 探 针 的 配置 、 
局 动 、 仿 止 探 针 、 编 辑 、 分 发 Snort 特征 但 规则 。 如 果 与 cron 和 curl 结合 使 用 ，SnortCenter 还 可 
以 定时 为 每 个 探 针 进行 规则 升级 ， 目 动 从 Snort 官方 站 点 获得 最 独 的 特征 人 码 规 则 
( http://www.snort.org/dl/signatures/snortrules-stable.tar.gz) 。SnortCenter 的 下 载 地 址 为 http://users 
.pandora.be/larc/download/。ACID 是 一 个 基于 PHP 的 分 析 引 擎 ， 用 于 奋 询 、 管 理 Snort 探 针 产生 
的 数据 库 。ACID 的 下 载 地 址 为 http:/www.cert.org/kb/acid/。 

另外 , 代理 是 同 中 央 分 析 服 务 器 报告 攻击 信息 的 软件 , 是 分 布 式 入 侵 检 测 系 统 的 一 个 重要 音 
件 。SnortCenter Agent 和 普通 意义 上 的 协同 代理 软件 有 些 不 同 , 它 只 是 一 个 SnortCenter 进行 探 针 
管理 的 代理 工具 。 通 过 SnortCenter Agent, SnortCenter 能 够 月 动 、 关 闭 受 保护 主机 上 的 Snort 探 
针 ; 修改 探 针 的 配置 和 使 用 的 特征 码 规则 。SnortCenter Agent 是 用 Perl 语言 编写 的 ， 可 以 在 不 同 
的 平台 上 使 用 。 为 了 防止 登录 过 程 中 账户 和 蜜 但 的 泄露 ， 它 使 用 SSL 和 SnortCenter 之 间 进 行 通 
ffo Snort 探 针 是 真正 进行 入 侵 检 测 的 组 件 ， 其 源 代码 可 以 从 http://www.snort.org 获得 。 


14.5.2 ”系统 安装 及 部 署 









































1. 数据 库 的 安装 和 设置 

在 分 析 服 务 问 上 ， 首 先 要 建立 记录 Snort 报警 和 日 志 数 据 库 及 SnortCenter、ACID 需要 的 数 
据 库 。 在 临时 目录 中 解压 缩 Snort 的 源 代 码 ,， 进入 contrib 目录 , 建立 数据 库 , 并 进行 相关 的 配置 。 
配置 命令 如 下 : 

# mysql -u root -p 

Sree Oe e SIDON OP 

Connect Snort 

E E CE Se 

grant CREATE; INSERT; SELECT, DELETE, UPDATE ODSSSTIOd E A TO SNOT; 

人 

Acre 

grane CREATE IN S RT DE Om oe a t: 

connect mysql 

Set password ror '"snort'u'loocabthostt -vobasswordi' vourpassword' 

Se Dao eNom or  r-pssswond(bveumspudsswoddb5 

flush privileges; 


rh 


2. 安装 SnortCenter 


把 最 新 版 的 SnortCenter 源 代 码 解 压缩 ， 将 目录 里 面 的 文件 复制 到 Apache 的 DocumentRoot 
目录 Clil/usr/local/apache/htdocs? 。 下 载 SnortCenter 需要 adodb Chttp://php.weblogs.com/adodb/) , 
WIFI) SnortCenter 所 在 的 目录 ， 然 后 建立 SnortCenter 数据 库 。 操 作 步 又 如 下 : 
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Hear zxvf snortcenter-v0.9.6.tar.gz 

tcp snortcenter-v0.9.6/* /usr/local/apache/htdocs/ 

jtar zxvf adodb250.tgz 

cp -R ./adodb /usr/local/apache/htdocs/ 

Kecho "CREATE DATABASE snortcenter;" | mysql -u root -p 

完成 了 基本 的 安装 之 后 ， 需 要 根据 系统 的 情况 手工 编辑 /usr/local/apache/htdocs/config.php X 
件 ， 从 而 结束 SnortCenter 的 配置 。 一 般 情 况 下 需要 修改 的 参数 如 表 14-1 PZR. 














表 14-1 /usr/local/apache/htdocs/config.php 文件 需要 修改 的 参数 








$ 数 说 PR 
SDBlib path adodb 所 在 的 目录 
$curl path Curl 命令 所 在 的 目录 ，SnortCenter 使 用 该 命令 从 官方 站 点 定时 获得 最 新 的 规则 
$Dbtype 数据 库 类 型 
$DB dbname 建立 的 数据 库 名 称 
$DB host 数据 库 所 在 的 主机 名 称 
$DB user 数据 库 用 户 名 称 
$DB password 2c FER] P a 
$DB port 28:9 P ER AR S i O 
$hidden key num 随机 数 串 ， 用 于 系统 安全 防护 





3. 安装 ACID 


ACID 需要 PHP x: ff gd， 并 对 PHPLot (www.phplotcom) ~ ADODB 进行 支持 。 狐 版 本 的 
ACID (0.9.6b22 以 后 版 本 ) 还 需要 JpGraph Chttp://www.aditus.nu/jpgraph/) 的 文 持 。ACID 及 相 
天 软件 安装 到 指定 位 置 之 后 ， 编 辑 配 置 文件 acid_conf.php 完成 其 配置 。 

男 外 ，ACID 本 二 缺乏 必要 的 访问 控制 机 制 , 需要 设置 Apache 对 访问 ACID IH JP SED S UE. 

4. 安装 Snort 探 针 和 SnortCenter Agent 











分 别 进 入 需要 保护 的 主机 ， 和 安装 Snort 和 SnortCenter Agent. SnortCenter Agent 需要 SSL 的 
支持 ， 所 需 模 块 可 以 从 http://www.cpan.org 得 到 。 安 装 命 令 如 下 : 


./configure -with-mysql 





make 

make install 

pora cp Seq PIN SEA 
eoim bo 2i 

perl Makefile.PL 


make install 


5; 


mkdir /opt/snortagent/ 
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cp snortcenter-agent-v0.1.6.tar.gz /opt/snortagent 
cd /opt/snortagent 


Ear zcuieenobteenmbes-qgdgencvU lo: z 


Ss 


Cd sensor 


# ./setup.sh 
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师 夷 长 技 以 制 夷 


“ 师 夷 长 技 以 制 夷 ”是 指 通过 学 习 西 方 的 先进 军事 技术 寻求 第 侮 强国 之 道 。 后 来 指 : 
习 西 方 的 先进 技术 来 抵制 西方 ， 也 就 是 “以 彼 之 道 ， 还 之 彼 身 ”， 是 魏源 在 他 的 《 海 国 
中 提出 来 的 。 

在 企业 Linux 安全 监控 工作 中 , 此 方法 主要 是 指 无 论 是 管理 员 
需要 站 在 黑客 的 角度 来 思考 ,从 各 个 技术 细节 来 对 系统 和 网 络 可 能 遭受 甬 
于 安全 监控 ， 这 样 才能 在 实际 的 运 维 工 作 中 处 于 有 利 地 位 ， 保 证 企业 信 rei 


32, 
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本 章 导 读 


E 


500 强 企业 信息 安全 工作 除了 本 书 前 面 
部 分 讲述 的 安全 原理 、 安 全 架构 和 实施 之 外 ， 
很 大 一 部 分 工作 就 在 于 安全 运 维 。 运 维 是 安 
全 必 不 可 少 的 必修 课 和 必要 阶段 。 具 体 来 讲 ， 
前 面部 署 的 安全 架构 和 服务 器 需要 从 系统 层 
面 、 性 能 层面 来 进行 监控 ， 从 而 发 现 系统 及 
其 承载 的 业务 在 运行 中 出 现 的 问题 ， 并 尽快 
地 进行 解决 ， 这 是 安全 运 维 保障 系统 和 服务 
可 用 性 的 重要 工作 内 容 。 

基于 此 ， 本 章 将 详细 介绍 企业 Linux 系 
统 及 性 能 监控 的 常用 工具 和 方法 ， 并 通过 大 
量 的 实例 来 揭示 500 强 企 业 是 如 何 进 行 此 项 
安全 运 维 工作 的 。 
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Linux 系统 下 , 大 多 数 的 性 能 监测 工具 保存 在 /proc 目录 下 。 这 里 我 们 将 Linux AS 和 SUSE Linux 
Enterprise Server 中 的 命令 行 及 图 形 方 式 下 的 性 能 监测 工具 做 概括 性 的 介绍 。 这 些 工 具有 些 在 系统 工 
有 具 盘 里 ， 有 些 可 以 从 网 上 下 载 。sar、iostat、 和 pstat 这 三 个 工具 在 distributionCD 里 ， 也 可 以 从 网 上 
下 载 ， 网 址 是 http://perso.wanadoo.fr/sebastien.godard/。Linux 性 能 监测 工具 如 表 15-1 所 示 。 




















表 15-1 Linux 性 能 监测 工具 
P RA 说 明 
uptime 系统 平均 负载 
dmesg 便 件 /系统 信息 
top 处 理 器 活动 情况 
iostat CPU 平均 负载 和 磁盘 情况 
vmstat 系统 情况 


Sar 


KDE System Guard 


收集 和 报告 系统 情况 
实时 的 系统 情况 报告 和 图 表 展 现 


free 内 存 使 用 情况 
Traffic-vis 网 络 监控 CSUSE Linux 企业 级 服务 器 专用 ) 
pmap 处 理 絮 内 存 使 用 情况 
strace 系统 程序 情况 
ulimit 系统 限制 
mpstat 多 处 理 器 使 用 情况 
15.1.1 uptime 





uptime 命令 用 于 人 查看 服务 器 运行 了 多 长 时 间 以 及 有 多 少 个 用 户 登 录 , 快速 获取 服务 占 的 负 合 
情况 。 

uptime 的 输出 包含 一 项 内 容 load average， 显 示 了 最 近 1-、5-、15 分 钟 的 负 傈 情况 。 其 值 代 

等 得 CPU 处 理 的 进程 数 ， 如 果 CPU 没有 时 间 处 理 这 些 进程 ，load average (E&F ha; RAN 

会 降低 。load average 的 最 佳 值 是 1， 说 明 每 个 进程 都 可 以 马上 处 理 并 且 没 有 CPU cycles WER. 
对 于 单 CPU 的 机 器, 1 或 者 2 是 可 以 接受 的 值 ; 对 于 多 路 CPU 的 机 器 , load average 值 可 能 在 8 一 
10 之 间 。 也 可 以 使 用 uptime 命令 来 判断 网 络 性 能 。 例 如 , 某 个 网 络 应 用 性 能 很 低 ,通过 运行 uptime 
全 看 服务 器 的 人 负 何 是 奋 很 品 ， 如 果 不 是 ， 那 么 问题 应 该 是 网 络 方面 造 成 的 。 

下 面 是 uptime 命令 的 输出 样式 : 


ea te a ET 














Duro OM Sr oc ee ede e ee 


15.1.2 dmesg 





dmesg 命令 主要 用 来 显示 内 核 信息 。 使 用 dmesg 可 以 有 效 诊 断 机 器 便 件 故 障 或 者 添加 人 硬件 出 
现 的 问题 。 
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使 用 dmesg 命令 可 以 确定 您 的 服务 器 安装 了 哪些 硬件 。 每 次 系统 重启 ， 系 统 都 会 检查 所 有 
硬件 并 将 信息 记录 下 来 。 执 行 /bin/dmesg 命令 可 以 查看 该 记录 。 
下 面 是 dmesg 命令 的 输出 样式 : 


# dmesg |more 30 











Go /Cle mee ee meque St bec IBS 

/dev/vmmon[26593]: /dev/rtc enable interrupt failed: -515 
/dev/vmmon[26593]: /dev/rtc enable interrupt failed: -515 
/dev/vmmon[26593]: /dev/rtc enable interrupt failed: -515 


HospENXMapUsescm: O0000000000 > 604 oTi oc pa 9rcpIIOQODOO000090095047 
numPagesNeeded = 1, handleSize = 24, mappedAddr = Oxffff810838010000 


/dev/vmmon[26593]: /dev/rtc enable interrupt failed: -515 
/dev/vmmon[26593]: /dev/rtc enable interrupt failed: -515 


/dev/vmmon[26593]: /dev/rtc enable interrupt failed: -515 


GE 
和 
和 


人 
synchronized. 

/dev/vmnet: open called by PID 27567 (vmx-vcpu-0) 

"deus vmmnetue out OA bubo suecesstulllv oben 

/dev/vmnet: open called by PID 27567 (vmx-vcpu-0) 


Ades wmmeteuporteon dh ubsorsueccesstultbosened 


Hoc t Rap Sm eco UO Ge 7 Mp cnp SOOO ODD ES 
numPagesNeeded = 1, handleSize - 24, mappedAddr = Oxffff81030d1e9000 
HO g db emite S00 00 diva. 


numPagesNeeded - 1, handleSize - 24, mappedAddr - Oxffff81030d1e9000 
/dev/vmmon[27567]: /dev/rtc enable interrupt failed: -515 
/dev/vmmon[27567]: /dev/rtc enable interrupt failed: -515 


HosemEEapUsesMem: up ODIO OS S00 ST dec cie 001.9929 
numPagesNeeded = 1, handleSize = 24, mappedAddr - Oxffff81030d1e9000 


/dev/vmmon[27567]: /dev/rtc enable interrupt failed: -515 
/dev/vmmon[27567]: /dev/rtc enable interrupt failed: -515 
/dev/vmnet: open called by PID 28168 (vmx-vcpu-0) 
"desse eo oT Onl Sue St obere 

/dev/vmnet: open called by PID 28168 (vmx-vcpu-0) 
Zdevevmnete on e suecesstulvoobpened 


/dev/vmmon[28168]: /dev/rtc enable interrupt failed: -515 
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15.1.3 top 








top 命令 显示 处 理 右 的 活动 状况 。 默认 情况 下 ， 显 示 占 用 CPU 最 多 的 任务 ， 并 且 每 隔 5 秒 做 
一 次 刷新 。 

Process priority 的 数值 决定 了 CPU 处 理 进程 的 顺序 。Liunx 内 核 会 根据 需要 调整 该 数值 的 大 
小 。nicevalue 局 限于 priority» priority 的 值 不 能 低 于 nice value Cnicevalue 值 越 低 ， 优 先 级 越 高 ) 。 
不 可 以 直接 修改 Process priority 的 值 ， 但 是 可 以 通过 调整 nicelevel 的 值 来 间接 地 改变 Process 
priority 值 ， 然 而 这 一 方法 并 不 是 所 有 时 候 都 可用。 如 果菜 个 进程 运行 寞 妾 缓慢 ， 可 以 通过 降低 
nicelevel 为 该 进程 分 配 更 多 的 CPU。 

Linux 支持 的 nicelevels 由 19《〈 优 先 级 低 ) 一 -20〈 优 先 级 高 ) ， 默 认 值 为 0。 执行 /bin/ps fti 
令 可 以 但 看 到 当前 进程 的 情况 。 























15.1.4 lostat 





iostat 由 Red Hat Enterprise Linux AS 发 布 。 同 时 iostat 也 是 Sysstat 的 一 部 分 ， 可 以 下 载 到 ， 
网 址 是 http://perso.wanadoo.fr/sebastien.godard/. 

执行 iostat 命令 可 以 查看 从 系统 启动 之 后 的 CPU 平均 时 间 ， 类 似 于 uptime。 除 此 之 外 ，iostat 
还 能 创建 一 个 服务 器 磁盘 子 系统 的 活动 报告 。 该 报告 包含 两 部 分 : CPU 使 用 情况 和 磁盘 使 用 情况 。 

下 面 是 iostat 命令 的 输出 样式 : 


# iostat 








Rae ee le e e POEs 


avg-cpu: %user %nice $system $iowait %steal  %idle 


A EDS dS Do DD e 


Device: 0 
sda Zl 5.46 46.86 46353466 397661300 
sdal geo O00 O0 4138 784 
sda2 ZUR 5.43 46.83  À 46119346 397386104 
sda3 0.00 8200.0 0 1880 0 

sda4 Qu DC 9:50 10 0 

sda5 0.00 1075; Or 227660 214412 
sdb WS DOS 210977502 515 TORNEO V PME 
sdb1 tonen 55:505 有 


CPU 占用 情况 包括 四 部 分 内 容 。 

=  %user: 显示 user level (applications) 时 ，CPU 的 占用 情况 。 
»  %nice: 显示 user level 在 nice priority FJ, CPU 的 占用 情况 。 
mn — "sys: 显示 system level (kernel) 时 ，CPU 的 占用 情况 。 
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mÈ 
-H 
si 
cr 
F? 


a  %idle: 显示 CPU 空闲 时 间 所 占 比 例 。 

磁盘 使 用 报告 分 成 以 下 几 个 部 分 。 

a Device: iZW INA. 

mn tps: 该 设备 每 秒 IO 传输 的 次 数 。 多 个 VO 请 求 可 以 组 合 为 一 个 ， 每 个 VO 请 求 传 输 的 
字 节 数 不 同 ， 因 此 可 以 将 多 个 VO 请 求 合 并 为 一 个 。 

= Blk read/s, Blk_wrtn/s: 表示 从 该 设备 每 秒 谈 写 的 数据 块 数量 。 块 的 大 小 可 以 不 同 ， 如 
1024、2048 或 4048B， 这 取决 于 partition 的 大 小 。 

例如 ， 执 行 下 列 命令 获得 设备 /dev/sdal 的 数据 块 大 小 : 

#dumpe2fs -h /dev/sdal |grep -F "Block size" 

输出 结果 如 下 : 


ln eo qe c 0 








Block sizes 1024 
Blk read, Blk wrtn: 指示 目 从 系统 局 动 之 后 数据 块 谈 / 写 的 合计 数 。 


15.1.5 vmstat 


vmstat 提供 了 processes. memory. paging, block I/O, traps 和 CPU 的 活动 状况 。 
下 和 面 是 vmstat 命令 的 输出 样式 : 


progs =-=- mnn- memory- ~ ~ swap = KO enS Senece CU 
r b swpd free buff cache si so Ion Dor DEC imc o E CINE CUM Sd 
加 0 0 由 7 0 DERE ME 
各 输出 列 的 含义 如 下 。 

mn — Dprocss: 


e -T: 等 行 runtime 的 进程 数 。 

e -b: 在 不 可 打 断 的 休眠 状态 下 的 进程 数 。 
= — memory: 

4 -swpd: 虚拟 内 存 使 用 量 (KB) 。 

4 -free: 闲置 内 存 使 用 量 (KB) 。 

。 -buff: 被 当 作 buffer 使 用 的 内 存量 (KB)。 
= swap: 

e -si: swap 到 磁盘 的 内 存量 (KB/s) 。 

e -so: ABIR swap 出 去 的 内 存量 (KB/s) 。 








4 -bi: 发 送 给 块 设备 的 数据 块 数目 (blocks/s) 。 
4 -bo: 从 块 设备 接收 的 数据 块 数目 Cblocks/s) . 


e -in; 每 秒 产 生 的 中 断 数 目 〈 包 括 时 钟 中 断 〉。 
e -cs: 每 秒 产 生 的 上 下 文 切换 数目 。 


a cpu (these are percentages of total CPU time) : 
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e -us: 在 非 内 核 运行 消耗 的 时 间 。 
e -Sy: 在 内 核 运 行 消耗 的 时 间 。 
4 -id: TNE. 

。 -wa: I/O 等 竺 时间。 


15.1.6 sar 


sar 是 Red Hat Enterprise Linux AS 发 行 的 一 个 工具 , 同时 也 是 Sysstat 工具 集 的 命令 之 一 。sar 
用 于 收集 、 报 告 或 者 保存 系统 活动 信 - | 
下 二 、 Pon $& S8am-7pm activity reports every 10 minutes during weekdays. 
bh. sar 由 三 个 应 用 组 成 : sar 显示 数 */10 8-18 * * 1-5 /usr/lib/sa/sal 600 6 å 
米 # 7pm-Bam activity reports every an hour during weekdays. 
Wi sarl 和 sar2 JI] FRAIRE EUR. 0 19-7 * * 1-5 /usr/lib/sa/sal & 
使 用 sarl 和 sar2, 系统 能 够 配置 # Activity reports every an hour on Saturday and Sunday. 
B 2 0 * * * 9,6 /usr/lib/sa/sal & 
自动 抓 取信 息 和 日 志 , 以 备 分 析 使 用 。 # Daily summary prepared at 19:05 
ENE t : k È 击 11 /sag - 
配置 举例 ; dE eiclerontab 中 添加 以 下 5 19 /usr/lib/sa/sa2 -A & 
儿 行 内 容 : 
同样 的 ， 也 可 以 在 命令 行 方式 下 使 用 sar 运行 实时 报告 : 


Jc) 





Toms e esc xo d dee OSALT? 

cR d GE guser $nice  $system  $iowait $steal $idle 
dssdo fes eub WERO 0.5 018 Ls Z9 Du 010 CROO DTO 
EERIE EAS all Zo Dessen Dre yas [ross 0.00 end 
doc sub TRES QU Dos 0159070 OI 010 9 0 
dssdo AS) all SE Orc 010 Orc dE 0.04 0c OO D onu 
| all IESO Qe00 Wo 0,1018 La DU NEMO 
ioa eu SE 0s 0) Ora d 0.00 0.00 98.04 
ESOS all eror 0.00 9S BI IET O0) PER S 
Ice adl IOS COE O 00:0 Orc DI > 
Poc POr o3 all A Orc (010 0.08 0 - 10:0 Orc OO Sox 0H) 
e e oN all Ter) rs OO OS zl 0.08 La UU SI I oS 
Average: au. eo dz 0o 20 0.04 Ore (000 E ENG 





从 收集 的 信息 中 ， 可 以 得 到 详细 的 CPU 使 用 情况 (huser, 9onice. ?osystem. %idle) . Pj 
存 页 面 调度 、 网 络 JO、 进 程 活动 、 块 设备 活动 ， 以 及 每 秒 产 生 的 中 岂 数 目 。 


15.1.7 KDE System Guard 


KDE System Guard (KSysguard) 18 KDE TEASE APERE. ATLAS HR A o6 Fe oe JY Hl 
25 di A TAI AS RUP ESI 
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如 图 15-1 历 示 ， 使 用 传感器 获取 显示 的 „iix 
FA «Hes n] EL Elf AUENA RAR uror dern 


HAF Ss QI xo 


| SystemLoad | Load | SystemLoad | Process T Te | 


表格 信息 。 
























、 T 2 9 CPU Load Load Average (1 min) 
对 于 每 一 种 类 型 的 信息 ,提供 了 一 个 或 者 。 | Dime 
更 多 显示 ， 并 以 工作 表 的 形式 独立 保存 。 Occ-— 
、 "m E * Partition Usage 
每 个 传感器 监视 一 个 部 件 ,所 有 显示 的 传 Proces: Controller 
| ea Count Physical Memory Swap Memory 





f 835] n] EL] BUb d... HE P IE. 
» — HARRA R ASA Fon 
a ”可 以 编辑 修改 行 数 和 列 数 。 
a 可 以 建立 新 的 工作 表 并 选择 捷 需 的 
传感器 。 图 15-1 KDE System Guard 示意 图 


15.1.8 free 





5 


45 Processes | Memcry: 99208 KB used, 1189834 KB free Swap: 0 KB used, 2010244 KB free 





/bin/free 命令 显示 所 有 空闲 的 和 使 用 的 内 存 数量 ， 包 括 swap， 同 时 也 包含 内 核 使 用 的 缓存 。 


# free 

eee ed Peel Eres yeieuerexel [O01 JE CTE eee 

Mem: 39S SOT moa OZ 2 0 553468 15480308 
-/t* buffers/cache: 660708026326752 

Swap: 0 0 0 


15.1.9 Traffic-vis 





Traffic-vis 是 一 套 测 定 哪些 主机 在 IP 网 进行 通信 、 通 信 的 目标 主机 以 及 传输 的 数据 量 ， 并 输 
出 纯 文本 、HTML 或 者 GIF 格式 的 报告 。 值 得 注意 的 是 : Traffic-vis 仅仅 适用 于 SUSE Linux 
Enterprise Server. 

可 以 使 用 以 下 命令 来 收集 eth0 的 信息 : 

E eo N 

可 以 使 用 killall 命令 来 控制 该 进程 。 如 果 要 将 报告 写 入 磁盘 ， 使 用 以 下 命令 : 

te o TCU FR ra eo eetor 

要 停止 对 信息 的 收集 ， 执 行 以 下 命令 : 

killall SIOTERM traffic collector 

尤其 值得 注意 的 是 : AmA En RERS, dU A i H m a E E o 

可 以 根据 packet. bytes. TCP 连接 数 对 输出 进行 排序 ， 根 据 每 项 的 总 数 或 者 收 /发 的 数量 进 
行 。 例 如 根据 主机 上 packets 的 收 /发 数量 排序 ， 执 行 以 下 命令 : 

ftraffic-sort -i output traffic-collector -o output traffic-sort Hp 

— HTML 格式 的 报告 ， 显 示 传 输 的 字 节 数 、packets 的 记录 、 全 部 TCP 连接 请 求 和 网 
络 中 每 台 服 务 占 的 信息 ， 请 运行 以 下 命令 


ee i eon M ee Co i ol s dabei. 
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使 用 管道 ， 可 以 只 需 执行 一 条 命令 





#cat 


output eea er e 


如 要 生成 GIF 文件 ， 执 行 以 下 命令 : 


#cat 


Pa le Mi cmo EE OUO 


15.1.10 pmap 


人 


ne a se > be 


ccarr Le- gort 


Tar oa 


二 上 ID 


le 


来 产生 报告 。 如 生成 HTML 的 报告 ， 执 行 以 下 命令 : 


| traffic-tohtml-o 


| erar rO- COJI O 


pmap 可 以 报告 条 个 或 多 个 进程 的 内 存 使 用 情况 。 使 用 pmap 判断 主机 中 哪个 进程 因 占 用 过 





E AFFAN FA. 
* pmap -x 30536 
SUE DOS 
Address 
0000000000400000 
000000000060a000 
(019/0186 :10)(0) IS orat Phot 6 (0:10) 
0000000040100000 
0000000040101000 
00000000415e0000 
00000000415e61000 
0000000041fe1000 
0000000041fe2000 
00000000429e62000 
0000000042963000 
00000000433e3000 
00000000433e4000 
0000000043de4000 
0000000043de5000 
000000004476e5000 
00000000447e6000 
00000000451e6000 
00000000451e7000 
本 
交加 
人 
(9001018/000) e 1527177 (0010 
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Kbytes 
40 
4 


Se Ho 


RSS 


S 
4 


OP) 


1S6 
S 


以 下 为 在 Red Hat Enterprise Server 下 pmap 命令 的 执行 结果 : 


lusr/LLob4/rLirertoz-3.0,19/rLretox -ULlLoOcCale zh CN 


Dirty Mode Mapping 
Ü r=-x- firefox 
Aru Ee EO 

66120 EW=== [ anon | 

Q0 ===== [| anon | 
8 rw--- [ anon ] 
Q ===== [ anon ] 
8 rw--- [ anon ] 
0 ===== [ anon | 
8 rw--- [| anon ] 
Q ===== [ anon ] 
l6 rw=== [| anon | 
Q0 ===== [ anon | 
8 rw--- [| anon | 
Q0 ===== [| anon | 
12 Gewe-—— [ anon ] 
0 ===== [| anon | 
20 rw--- [ anon ] 
0 ===== [| anon | 
16 rw--- | anon | 
Dun c EPI ON aaO 
posce USO 2 0 
4 
d wc eo 2 DS 





mR 
-H 
e 
SS 
F 
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yO 0 0 8 4 DEW [anon 

910.0100 SS TOES D (008 UA 40 Orc c MO ccc necp M (NE 
COOCOO XE 20010010 2048 0 Qe i eS Se c D 
KOLOLO le OTHO TON 8 8 Se boc o 
QUO OOS ST 22000100 144 28 Dro ee ST ONG CO NL 
0000003312a24000 2044 0 Dem WORSE oe eo 
DUXI ONDES Sene 2 8 8 2 3b le oe eo ee 
0000003314600000 280 g2 Qoo 0 
0000003314646000 2048 0 Uc Lipes sore 
0000003314846000 24 JE jw Mem Scl Sc C 
0000003315800000 poU 88 oe 
QoS S300 2048 0 Dire dnl oN a oS SOSS 
(9119018000) 5) 5:1 S ROME OO JL O lorun ADRO n SO S 
避风 E 16 Der sc sp er e Cao o Teu OO dli 
COOCOO Toc oao 2044 0 Dae ndo eri SUD DOLEO) el 
0000003315e07000 4 4 d Rio e mp ouem 
0000003d854a00000 T5 104 DNEE cde SE) 
0000003d54c1b000 4 4 d pc CHE S EU EG 

下 面 显 示 了 httpd 进程 所 占用 的 内 存 : 

ma ce Ure E 

yeo AR "ute SOT Dyer Ch 

Address Kbytes RSS Dirty Mode Mapping 
000025b54c58f£a000 308 1007 Dep ccn 
00002b54c5947000 100 0 0 rw-s- zero (deleted) 
000025b54c5547000 16 16 icr ED 
00002b54c5b4b000 12 8 8 IN ——— [| anon | 
00002b54c5b4e000 1512 40 Orexa I se 
00002b54c5b6a000 4 4 A NWg——— [ anon ] 
00002b54c5b94000 4 4 4A WW= 一 = [ anon | 
000025b54c5d69000 4 4 a gcc dle Qe e 

QD Tode coc 9 4 4 d nueces ep 
000025b54c5d6b000 O7 4 Ur oc Io DR 
00002b54c5ded000 2044 0 Dac TEMO eu) 
00002b54c5fec000 4 4 Z ee SO 
00002b54c5fed000 4 4 d epu EI ADESSO 
00002b54c5fee000 108 28 gp H OPETE (eel 
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00002554c6009000 2048 0 Duc LrDper&s cot) DE 
DUIODQ ZI Sd oS 4 4 A cuenoOpenesosi 
00002554c620a000 84 4 DE cc ces See ID E RD 
Oooo ES 416/1592 Tag (QNOD, 2048 0 ume Nas storm di 
JOO SA GA 8 8 Cs a 
ER 2I OG 6944 SUIS 


15.1.11 strace 


strace 截取 和 记录 系统 进程 调用 ， 以 及 进程 收 到 的 信和 号。 是 一 个 非常 有 效 的 检测 、 指 导 和 调 
试 工具 。 系 统管 理 员 可 以 通过 该 命令 容易 地 解决 程序 问题 。 

使 用 该 命令 需要 指明 进程 的 ID (PID) ， 例 如 : 

Porre p oan’ 

EGR 

人 


P E O E NOE a E 
sc rei RS a I Ta NUE E a NU E E Or DS = (et ES ODE OI 
OO = 8 
seleee(8 I7], NULL, NULL, 10; 07) — 0 (Timeout) 


Eee 

EU 
OR O MEE MCI 

See 
20 AO AN NULE: NULL; NULL)  ————OERBESITARTNOHANDOCCTO be restarted) 


== SIGALRM (Alarm clock) @ O (0) === 
cede e MM INMENSO MEI ECTS Mp NNNM METTI MENO 
cn ee o = -1 EINTR (Interrupted system call) 
SEI a (0 0 S S Cl 2 AM 
25-95 gb E E a E E me d ass 25D) 
Ee EEE ode ede cet asque cede CANDIDE S bo aerias (0r 02 OIUNQTO = 
roads M SUSAN QU RAO) = 8 
read(25, 0x1157da60, 4096) = -] EAGAIN (Resource temporarily unavailable) 
writev (25, 
pue cde OU OO O00 ON ADDS de N Ea dece» 2 T 、 
oS On NIRE 
ee et o Usque cxce ETE Ttc lE MN DEPIuOUAM 
252: 02 5 NUEL NUES NULE = BEBE SIABINOIAND rO pe restarted) 
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=== ŞIGALRM (Alarm clock) e O (0) ==- 
ee 
Ion CEST OD = eq EINTR (Interrupted system call) 
人 


P R I E e OE a E a a 
select ges AE NOE E NIE a O O zu reque) 
vcio POM Meng ges TNT LOIU Du MIR A = 8 
Sedem t I7- NULL- NULL, 0, DS — 0 (Timeout) 


Se E mE IET aee dn elo cene rage IE Ov DNI e aee cte oO 2019/90 T Joc SIDES re D 


15.1.12 ulimit 





ulimit 内 置 在 bash shell 中 ， 用 来 提供 对 shell 和 进程 可 用 资源 的 控制 ， 使 用 选项 -a 列 出 可 以 
设置 的 所 有 参数 : 


ne = a 


core file size lolocks, =e) Q 

data seg size 人 
SORE ETAJE TOFTE (=e) 0 

file size (blocks, -f) unlimited 
pending signals (S Pad D 

max locked memory doa c IS» 

max memory size (eo becs cT td mm ed 
open files (—po) Eu 4 

pipe size (oup Bec pP o 

POSIX message queues (ytes, 9) 21900 
real-time priority A 

stack size (kbytes, -s) 10240 

cpu time (seconds, -t) unlimited 
max user processes 人 
virtual memory (koytes nm 
puc es (-x) unlimited 


-H 和 -S 选项 指明 所 给 资源 的 软 、 硬 限制 。 如 果 超 过 了 软 限 制 ， 系 统管 理 员 会 收 到 警告 信息 。 
便 限 制 指 在 用 户 收 到 超过 文件 句 炳 限制 的 错误 信息 之 前 ， 可 以 达到 的 最 大 值 。 

例如 : 可 以 设置 对 文件 句柄 的 人 硬 限 制 : £ulimit-Hn 4096， 同 样 ， 可 以 设置 对 文件 句柄 的 软 限 
制 : #ulimit -Sn 1024。 如 果 要 但 看 软 、 便 限制 值 ， 执 行 以 下 命令 


#ulimit -Hn 
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oe E cem 

例如 限制 Oracle 用 户 ， 在 /etc/security/limits.conf 输入 以 下 行 : 
Sopuemnomatoud096 

hard nofile 10240 

对 于 Red Hat Enterprise Linux AS， 确 定 文件 /etc/pam.d/system-auth 包含 以 下 行 : 
session required /lib/security/H4ISA/pam limits.so 


对 于 SUSE Linux Enterprise Server， 人 确定 文件 /etc/pam.d/login 和 /etc/pam.d/sshd 包含 以 下 行 : 


Se Ton mo mlm 


这 一 行使 这 些 限 制 生 效 。 
15.1.13 mpstat 








mpstat 是 Sysstat 工具 集 的 一 部 分 。mpstat 用 于 报告 多 路 CPU 主机 每 颗 CPU 的 活动 情况 ， 
以 及 整个 主机 的 CPU 情况 。 

例如 ， 下 面 的 命令 可 以 隔 3 秒 报告 一 次 处 理 絮 的 活动 情况 ， 执 行 4 次 : 

Hn le 

Linux 2.6.18=194,.@15 OO 


[9] 


15:29:06 CPU $user $nice $sys $iowait $irq $soft $steal $idle intr/s 


eese) e TEE M Dre Oro Per MO OIN NO exo Lr On E O O E S S 

d ga OO IE TOL STONDIRSS dor ec e E TEES, (cd) 

doxes oeo ido ee edes oic Or Oro dps eor S OO pO Des a NILUS eU 

Js 0 er ik rese oett on ORB DI T9 E ig etos O A Oe En 
UR 


Average: all 1.79 DEDI HOME OAM MEO T CE NI A COM N(UO 

以 下 命令 每 隔 1 秒 显示 一 次 多 路 CPU 主机 的 处 理 器 活动 情况 ， 执 行 2 次 : 

* mpstat -P ALL 1 2 

Prou oie odo deccm QS INL ATE. 

15:30:18 CPU user Nice $sys $iowait Z$irq $soft $steal $idle intr/s 
Iove cuocere bl clos is 94x 0795 E 19/019)07 NOR OL Qhod Or aoi eel 01.9 L0 ae c 01D 
人 


人 
人 
dosi dE UO YO O Oe ey 
Ton Od OS OUSSC DURO ESTO SP IS SIND OLTRE NC 
doo 0 peg SC DONI DU QOO DIDI ONG UM Or GI O OTT LO 
人 


430 


RS 
ibo 
TOS 
RS? 
de 
Tog 
ibo 
its 
qae 
ie: 
Vox 
Rei 
VOR 
IES 
je 
d 


dos 


d Es 
Toz 
quoc 
ou 
Eo? 
S 
Toz 
duo 
RO: 
ert 
I eR: 
ie 
quoc 
Ror 
Ba 
ES 
e 


dieat. 


Se 
SEE 
Sus 
Sg 
S05 
Se 
EXE 
S0. 
20; 
S05 
Se 
EE: 
Ss 
20; 
oup 
Ss 
Sa 


$19 
20: 
ND 
Sig 
Su 
Sig 
9 
S02 
20: 
20: 
20i 
20: 
SNI 
有 
Sig 
20i 
20: 
SB 


Zu 
e 
E 
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i Oe Oe 0 Ol NO Oe D0 OA be A oa, 


CORE OE ENDURO oR er CO IC EOS (Sor Toe 0:0 


由 


w9 
n 
159 
IR 
人 
19 
n 
[9 
ALS, 
15s 
n9 
1S 
159 
Ie 


i25 
20 
Zt) 
ZI 
20 
zit) 
20 
20 
20 
20 
20 
20 
Zt) 
20 
20 
20 
20 
20 


POT 21910 


E 
in 
ds 
14 
Jes; 
EG 
T 
18 
M 
20 
Zu 
TAA 
23 


CPU $user $nice $sys $iowait $irq $soft $steal $idle intr/s 


all 


Z 


irs 


(3 


20O 
Qul 
20 
.00 
00 
MOI 


0.00 


QUE 


Is 
14 
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<00 
00 
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uses DAS dedisse oos ORE Oe pov (es ues eS TM Eo i C E CU CS ro AO Qe Due (IQ) 
Oe QD GLO C GO dI DOR OT DEXTRO ENS Caco ur Oy 
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ESOO OT TE S A EEG UOI QU DIOE Qe QUOS USO QUII ENORIOLOTNSS LUN Oy 
由 
9 
人 
由 


Average:CPU $user $nice $sys $iowait $irq $soft $steal $idle intr/s 
人 
Average Or ONO en 0 0 CA MN OEEO 


Pv o rag e ue cde pO 09/0 Oe O9 T OIM OO 0 OR IS ESO 
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Pveqpaec DE OR ONCOL MR C CRUCE COMOROS OO en RS) SD 
Accu DURO CAS OR SOS DONEC RS. (0S ONIOT 
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ETE CPU 监控 详解 


一 般 来 说 ，CPU 监控 主要 对 其 利用 率 进 行 实 时 监控 ，CPU 利用 率 主 要 依赖 于 是 什么 资源 在 
试图 存 取 。 内 核 调度 右 将 负 员 调度 两 种 资源 种 类 : 线程 〈 单 一 或 者 多 路 ) 和 中 断 。 调 度 需 会 定义 
不 同 资源 的 不 同 优 先 权 。 以 下 列表 投 优 先 级 从 高 到 低 排列 。 

a  Interrupts CFH) 。 设 备 通知 内 核 ， 它 们 完成 一 次 数据 处 理 的 过 程 。 例 如 ， 当 一 块 网 卡 

设备 传送 网 络 数据 包 或 者 一 块 便 件 提供 了 一 次 IO 请 求 。 

= — KernelProcesses 《内 核 处 理 过 程 》。 所 有 内 核 处 理 过 程 束 是 控制 优先 级 别 。 

= User Processes 〈 用 户 进程 ) 。 所 有 软件 程序 都 运行 在 这 个 user space。 该 块 在 内 核 调 度 

机 制 中 处 于 低 优先 级 。 

从 上 面 我 们 可 以 看 出 内 核 是 怎样 管理 不 同 资源 的 , 还 有 儿 个 关键 内 容 需 要 介绍 。 以 下 部 分 残 

将 介绍 context (上 和 下文 切换 ) ~ run queues (运行 队列 〉 以 及 utilization 〈 利 用 率 ) 。 


15.2.1 上 下 文 切换 


多 数 现 代 处 理 需 都 能 够 运行 一 个 进程 〈 单 一 线程 ) 或 者 线程 。 多 路 超 线程 处 理 器 有 能 力 运 行 
多 个 线程 。 然 而 ，Linux 内 核 还 是 把 每 个 处 理 器 核心 的 双核 心 蕊 片 作 为 独立 的 处 理 器 。 比 如 ， 以 
Linux 内 核 的 系统 在 一 个 双核 心 处 理 器 上 ， 是 报告 显示 为 两 个 独立 的 处 理 器 。 

一 个 标准 的 Linux 内 核 可 以 运行 50~50 000 个 处 理 线程 。 在 只 有 一 个 CPU 时 ， 内 核 将 调度 
并 均衡 每 个 进程 线程 ， 每 个 线程 都 分 配 一 个 在 处 理 器 中 被 开销 的 时 间 额 度 。 一 个 线程 要 么 就 是 获 
得 时 间 额 度 或 已 抢先 获得 一 些 具 有 较 高 优先 级 (比如 硬件 中 断 ) ， 其 中 较 高 优先 级 的 线程 将 从 区 
域 重 狐 放置 回 处 理 器 的 队列 中 。 这 种 线程 的 转换 关系 束 是 我 们 提 到 的 上 下 文 切换 。 

每 次 内 核 的 上 下 文 切换 ， 资 源 被 用 于 关闭 在 CPU 寄存 器 中 的 线程 和 放置 在 队列 中 。 系 统 中 
的 上 下 文 切 换 越 多 ， 在 处 理 器 的 调度 管理 下 ， 内 核 将 得 到 更 多 的 工作 。 


15.2.2 ”运行 队列 



























































每 个 CPU 都 维护 一 个 线程 的 运行 队列 。 理 论 上 ， 调 度 器 应 该 不 断 地 运行 和 执行 线程 。 进 程 
线程 不 是 在 sleep 状态 中 《阻塞 中 和 等 待 IO 中 ) 就 是 在 可 运行 状态 中 。 如 果 CPU 子 系统 处 于 高 
负 何 状态 下 ， 那 惑 意 味 痢 内 核 调度 将 无 法 及 时 啊 应 系统 请 求 。 导 致 的 结果 是 可 运行 状态 进程 拥塞 
在 运行 队列 里 。 当 运行 队列 越 来 越 巨 大 时 ， 进 程 线程 将 花费 更 多 的 时 间 获 取 被 执行 。 

比较 流行 的 术语 就 是 “load”， 它 提供 当前 运行 队列 的 详细 状态 。 系 统 load 就 是 指 在 CPU 
队列 中 有 多 少数 目的 线程 ， 以 及 其 中 当前 有 多 少 进程 线程 数目 被 执行 的 组 合 。 如 果 一 个 双核 系统 
执行 了 两 个 线程 ， 还 有 4 个 在 运行 队列 中 ， 则 load 应 该 为 6。top 程序 里 显示 的 load averages 是 
指 1. 5. 15 分 钟 以 内 的 load 情况 。 


15.2.3 CPU 利用 率 












































CPU AH] RE X. CPU 使 用 的 百分比 。 评 估 系 统 最 重要 的 一 个 度量 方式 驶 是 CPU 的 利用 率 ， 
多 数 性 能 监控 工具 关于 CPU 利用 率 的 分 类 有 以 下 几 种 。 
= User Time〈 用 户 进程 时 间 ) : 在 user space 中 被 执行 进程 在 CPU 中 开销 的 时 间 百 分 比 。 
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= System Time 〈 内 核 线程 以 及 中 断 时 间 ) : 在 kernel space 中 线程 和 中 断 在 CPU 中 开销 


的 时 间 百 分 比 。 
a — WaitIO (IO 请 求 等 待 时 间 ) : 所 有 进程 线程 被 阻塞 等 待 完 成 一 次 IO 请 求 所 占 CPU 开 
销 idle 的 时 间 百 分 比 。 





s Ide 空间); 一 个 完整 空闲 状态 的 进程 在 CPU 处 理 融 中 开销 的 时 间 百 分 比 。 


15.2.4 使 用 vmstat 工具 进行 监控 


vmstat 工具 提供 了 一 种 低 开 销 的 系统 性 能 观察 方式 。 因 为 vmstat KAMERAL, TE 
非常 高 负 衍 的 服务 器 上 ,你 需要 答 看 并 监控 系统 的 健康 情况 , 在 控制 窗口 还 能 够 使 用 vmstat 输出 
结果 。 该 工具 运行 在 两 种 模式 Cverage 和 sample 模式 ) Fo sample 模式 通过 指定 间隔 时 间 测 量 
状态 值 ， 访 模式 对 于 理解 在 持续 负 人 向 下 的 性 能 表现 很 有 帮助 。 下 面 给 出 的 是 vmstat 运行 1 秒 间隔 
的 示例 : 

















# vmstat 1 
pos Menor 2 SWaD lO "SY Lo =o0 = 

Db Swpd free buff cache Si SO I Do aci CO osws 
DORT SC EE EE) 0 0 E 26 y A 
ior er 000 S00 9520 72200 0 0 0 MID SUL NIU O 
人 0 0 0 0 1009 CY9r dp rape eyes i 
其 中 ， 各 字段 的 含义 如 下 。 





a IT: 当前 运行 队列 中 线程 的 数目 。 代 表 线 程 处 于 可 运行 状态 ， 但 CPU 还 未 能 执行 。 
a b: 当前 进程 阻 暑 并 等 竺 IO 请 求 完 成 的 数目 。 

a in: 当前 中 断 被 处 理 的 数目 。 

mn cs: 发生 上 下 文 切 换 的 数目 。 

mn us: CPU 利用 率 的 百分比 。 

a Sys: 内 核 和 中 断 利 用 率 的 百分比 。 

a wa: 所 有 可 运行 状态 线程 被 阻 奢 在 等 待 IO 请 求 的 白 分 比 。 

a id: CPU ^r PIRE [RI] E 43 EG e 

下 面 给 出 两 个 其 体 的 例子 来 说 明 如 何 进行 判别 。 

例子 1: 在 下 和 面 的 例子 中 ， 系 统 被 充分 利用 : 














# vmstat 1 

procs memory Swap io System CU 
IM swpd free buff cache SL SO bi Do 3TH GISELE ed 
Sc uL ABUS xo I 2 0 0 0 0 Qr nis 2 0 
2 SENSIT SEPA 0 0 0 0. we po E EE 
E ORO Ipso ors MEDIO Odone NE OUO 0 0 0 O20 ZOG A O O 
EOE O E S e eI T O T O 412 OG SOR BIG) NS) CQ. e IE Oc ufo 
2 0207348 14448 78800 175576 0 412 0 2007 OS Uo ATTO D 
DEDE? Qo EIDEM QE OT 0 0 0 O 874 2 0 TOES 


2 
0 


O 
O 
O 
O 
O 
O 


O 
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Ss AAO A O O O QUSE Z4 elo bd. gr 8 
Z9 Td sr c ESI) TT eS dE Sd 0 0 O 0 EROS ot DRE 
Z0 Socr US FG We dhe DS 0 O O SOS 3 DL T MOVE 
ZI A T MEO deo Miss des. CIO ST Od 0 0 0 QS ee 
ZO Gd ODE sro 0 0 0 850 Zo sr p 8 
2210 5d ver ULNAS segs o MISI Se dU O 0 O OASE pM cM PES 
SO doe eso. dq «bs O 0 O De 2 


根据 观 穴 值 ， 我 们 可 以 得 出 以 下 线 论 。 


有 大 量 的 中 断 〈in) MEDRE PEH Ces) 
件 设备 的 请 求 。 

进一步 显示 茶 单 个 应 用 ，user time Cus) 经 党 在 85% 或 者 更 多 。 考 虑 到 较 少 的 上 下 文 切 
换 ， 这 个 应 用 应 该 还 在 处 理 右 中 被 处 理 。 

运行 队列 还 在 可 接受 的 性 能 沁 转 内， 其 中 有 两 个 地 方 ， 是 超出 了 人 允许 限制 。 


。 这 意味 者 一 个 单一 的 进程 在 产生 对 便 








例子 2: 在 下 面 的 例子 中 ， 内 核 调度 中 的 上 下 文 切换 处 于 饱和 : 


# vmstat 1 

[om memory Swap io System Cpu 
iS Me swpd free buff cache Si SO lon Do abi GS a EVE wa ld 
2 Wu 207740 04476 3913944. 190972 0 DPA DEED OUS occ ur S EA 
D Qu EOS duh occ 0 DOES GS C9 o NODI UL crue MC RUE CS LEM 
DEEP OE TTXVN 0 0 2044 DRE OI ORC CRM 
DONA DUCES NO 0 Qe S26 O e a 0 cR ees cr To LB 
ZONES OXIDE UE .03984 0 DD EC 
SZ EO QE TG MINE 0 DESI 人 
d DUREE MEC IDEA 0 0 880 5200 43 OT 0 E 
DICAS DER 0 DEMNM S DEN co RU RP CST UTI UN MO, 
d UN PPM E MM ONERE 0 0r I2 00 Soc o edP cox wh E oS PB 
GOES 0000 0 ESTE cuc OG MED 0 De 国有 
CR 0 0 092 QUEM Gr Ta O a EAR X0 MANO 


M: ER B. SRI EAE FE. 








上 下 文 切换 数目 高 于 中 断 数目 ， 说 明 kernel 中 相当 数量 的 时 间 都 开销 在 上 下 文 切换 线 
程 。 

大 量 的 上 下 文 切换 将 导致 CPU 利用 率 分 类 不 均衡 。 很 明显 ， 实 际 上 等 符 IO 请 求 的 百 
分 比 (wa) 非常 高 ， 而 user time 百分比 Cus) 非常 低 。 

因为 CPU ABBH3EZE IO 请 求 上 ， 上 所 以 运行 队列 里 也 有 相当 数目 的 可 运行 状态 线程 在 等 
每 执行 。 
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15.2.5 ”使 用 mpstat 工具 进行 多 处 理 器 监控 


如 来 系统 运行 在 多 处 理 副 已 片 上 ， 可 以 使 用 mpstat 命令 来 监控 每 个 独立 的 心 厂 。Linux 内 核 
视 双 核 处 理 磊 为 两 个 CPU， 因 此 一 个 双核 处 理 带 的 双 内 核 就 报告 有 4 个 CPU 可 用 ， 这 个 需要 引 











iui. 
mpstat 命令 给 出 的 CPU 利用 率 统计 值 大 致 和 vmstat 一 致 ， 但 是 mpstat 可 以 给 出 基于 单 
^P ABE SSH B: 


* mpstat -P ALL 1 


和 


四 $user $nice $system $idle Ti 
el CEESG OOKO SE, D CENE SET 
Quo seduce dei 0 0.00 L2 00 OEO oe 0.00 
DONI NEN 1 W CETONIO S oo lle icu 
DOCE TEM 2 0.00 Or (00 Quo SO Or 0.00 
DECEM E 0L c (010 IBI (010 OEO THER eO. UND 


下 面 给 出 一 些 具体 的 例子 来 介绍 如 何 使 用 mpstat 进行 监控 。 

例子 1: 在 这 个 例子 中 ，4 CPU 核心 可 用 其 中 两 个 CPU 主要 处 理 进 程 运行 (CPU 0 和 1) 。 
第 3 个 核心 处 理 所 有 内 核 和 其 他 系统 功能 (CPU 3) 。 第 4 个 核心 处 于 idle (CPU 2) 。 

使 用 top 命令 可 以 看 到 有 3 个 进程 差不多 完全 占用 了 整个 CPU 核心 : 


Prop -d 1 





popu r7 D EO d. 3 users, Foal evora gen OCSI LOS a S 
Tasks: 190 total 4 running, 186 sleeping; 0 stopped, 0 zombie 


i ES c lisa pcs saved suman orc hob cU etc Oc (Ug aee Os 


Ss 

Mem: Zen eue cd. ciis 448684k used, 1626052k free, TITOK DUCES 
wape | 0m total; Ok used, 4192956k free, 259044k cached 
EANDe SE BE RE HR CEU NEN TIME+ COMMAND 


JE SS TO OC 2:5 DT CUTE Mp EMEN (NE (c MENO C MURIS 
Jes ro eqibresto di 25 VEE oC OT ZAER TROS 2 el adn mede bre 
15960 apache PAS DEI fcd dL eese ee a dioc OLSe te 
00 ONE WE 0 2 2 lee el QO oO 
lOO 1:6 Du SEG CES MS Q- rcd DOT YE 

* mpstat -P ALL 1 

Ju ME DERMSITSME ROG SIS os omg DIS exi 
DE T TEE ETE $user $nice $system $idle JEN S 


机 SEED OOO ipic SE AOS 
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DES dE SUA CORTE 0 ex ce Qux 149. eu D Qu diss d 


DONNE OS 1 comol OOO | 0r 000 dor Td 
Dos MEM 2 0.00 Urs OO BOSOS 84.66 ZANO 
o cs BM 3 Ducum 0.500 NECS 0.00 OOO 
Quoc DIM $user $nice $system $idle se 


| SG Qu dee 64. 225100) ioc dq 9 


Dd s sss gea 0 88.660 OOD EN] QEON JUI AE 


Dos NEN 1 80.41 Urs OO Je EISE OLO OTO 
DC O REM D 0.00 0.00 QI E00 0.00 
四 S opel LS OUO FoTo 01010 ORRELA 
DD TEM $user $nice $system $idle SENS S 


0 a Sa OOD 19219 Zeb) lile dl 


Osce douces d edel 0 S3 p QN JH Oo Rs dt 


Dos ope EM il TEO 0.00 dde 02009) OLEO 
Dos cd IPM 2 rc (OUO. iQ S (0) Or stop. OO OANE! 
Dos T PM 3 DOT Do) DONIS Lc OO 0.00 
Oe T Qd Sp CEN $user $nice $system $idle a 


Od Som QN 15255910 Zio Rs 


Deer Leg EM 0 91 94 WU SINE 0.00 WAS 


(Ds: 3 1: DOR D OOU EOR 2D OO TEO 
ye ee oea 2 0.00 OOO OOO RO 0.00 
Ds dL esr ed S ORTOS (0-190 dp OCOY HERU 


还 可 以 使 用 ps 命令 通过 查看 PSR 列 ， 来 检查 哪个 进程 占用 了 哪个 CPU: 


i le oee E a oo so om ee a lt 
Done 

PID NI PRI %CPU PSR COMMAND 
LEARE 0 e ls 
PID NI PRI %CPU PSR COMMAND 
KORI 0 14 94.0 e» uns ee 
PID NI PRI %CPU PSR COMMAND 
en OTE RUN O Tye 
PID NI PRI %CPU PSR COMMAND 
VOUS OSEE 10 SO BV STO! 
PID NI PRI %CPU PSR COMMAND 
VOUS OEC ORO IS S) SO BV STO! 
PID NI PRI %CPU PSR COMMAND 
INS OEE ETEO SAS SUO, 
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15.2.6 CPU 监控 总 结 


监控 CPU 性 能 由 以 下 儿 个 部 分 组 成 。 

(1) RÆ system 的 运行 队列 ， 以 及 确定 不 要 超出 每 个 处 理 器 3 个 可 运行 状态 线程 的 限制 。 

(2) 确定 CPU 利用 率 中 user/system 比例 维持 在 70/30. 

(3) 当 CPU 开销 更 多 的 时 间 在 system mode， 那 承 说 明 已 经 超 负 和 谷 并 且 应 该 答 试 重新 调度 优 
先 级 。 

(4) 当 O 处 理 得 到 增长 ，CPU 范畴 的 应 用 处 理 将 受到 影响 。 


ELTE 内 存 监控 详解 


15.3.1 Virtual Memory 介绍 














虚拟 内 存 就 是 采用 人 硬盘 对 物理 内 存 进 行 扩展 ,所 以 对 可 用 内 存 的 增加 是 要 相对 在 一 个 有 效 范 
围 内 的 。 内 核 会 写 当 前 未 使 用 内 存 块 的 内 容 到 便 稚 上， 此 时 这 部 分 内 存 被 用 于 其 他 用 途 。 当 再 一 
次 需要 原始 内 容 时 ， 此 时 再 该 回 到 内 存 中 ， 这 对 于 用 户 来 说 是 完全 透明 的 。 在 Linux. 下 运行 的 程 
序 能 够 看 到 ， 也 仅仅 是 大 量 的 可 用 内 存 ， 同 时 也 不 会 留意 到 ， 偶 尔 还 有 部 分 是 驻 留 在 倒 盘 上 的 。 
当然 ， 在 硬盘 上 进行 谈 和 写 ， 都 是 很 慢 的 〈《 大 约会 慢 上 于 倍 ) ， 相 对 于 使 用 真实 内 存 来 说 。 因 此 
程序 无 法 运行 得 更 快 。 用 硬盘 的 一 部 分 作为 Virtual Memory， 被 称 为 “swap space" (ZHEN) - 






































15.3.2 Virtual Memory Pages 





虚拟 内 存 被 分 为 很 多 pages CULO , Œ x86 架构 中 ， 每 个 虚拟 内 存 页 为 AKBe«. VIR PUE 
到 磁盘 或 者 读 人 磁盘 到 内 存 ， 这 束 是 一 次 写 内 存 到 页 的 过 程 。 内 核 通常 是 在 swap 分 区 和 文件 系统 
之 间 进 行 这 样 的 操作 。 





15.3.3 Kernel Memory Paging 





内 存 分 页 在 正常 情况 下 总 是 活路 的， 与 Memory Swapping (内 存 交 换 ) 之 间 不 要 搞 错 了 。 内 
存 分 页 是 指 内 核 会 定期 将 内 存 中 的 数据 同步 到 人 硬盘 ， 这 个 过 程 束 是 Memory Paging。 日 复 一 日 ， 
应 用 最 终 将 会 消耗 反 所 有 的 内 存 空 间 。 考 虑 到 这 上 点， 内核 必 须 经 党 扫描 内 存 空间 并 且 收 回 其 中 未 
伞 使 用 的 内 存 页 ， 然 后 再 重新 分 配 内 存 衬 间 给 其 他 应 用 使 用 。 


15.3.4 kswapd 























kswapd 进程 负责 确保 内 存 空间 总 是 在 被 释放 中 。 它 监控 内 核 中 的 pages high 和 pages low 
闵 值 ， 如 果 空 用 内 存 的 数值 低 于 pages low, 则 每 次 kswapd 进程 局 动 扫 描 并 尝试 释放 32 个 free 
pages 并 一 直 重 复 该 过 程 ， 直 到 衬 闲 内 存 的 数值 高 于 pages high. 

kswapd 进程 完成 以 下 几 个 操作 。 

a 如 条 该 页 处 于 未 修改 状态 ， 则 将 该 页 放置 回 空 闲 列 表 中 。 
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" ”如果 该 页 处 于 已 修改 状态 并 可 备份 回 文 件 系 统 ， 则 将 页 内 容 写 入 到 磁盘 。 
a ”如 果 该 页 处 于 已 修改 状态 但 没有 任何 磁盘 备份 ， 则 将 页 内 容 写 入 到 swap device. 


15.3.5 使 用 vmstat 进行 内 存 监控 


vmstat 工具 报告 里 除了 CPU 的 使 用 情况 ， 还 包括 了 虚拟 内 存 。 以 下 束 是 vmstat 输出 中 关于 
虚拟 内 存 的 部 分 。 

=  swapd: 当前 虚拟 内 存 使 用 的 总 额 〈 单 位 : KB) 。 衬 朵 内 存 达 到 最 低 的 国 值 时 ， 更 多 的 

数据 被 转换 成 页 到 交换 设备 中 。 

a free: 当前 内 存 中 可 用 空间 学 广 数 。 

a buff: 当前 内 存 中 用 于 read 8I write0 操 作 的 绥 冲 区 中 绥 存 学 节 数 。 

a cache: 当前 内 存 中 映射 到 进程 地 址 空间 学 市 数 。 

a S0: BAXE RISE T ROAA o 

a — si: PAZ dE [RIS Inl PSAEB- E T AUS BR o 

a — bo: RARIK Vaf MALE SI SCTE B AE TV 6e EP] s T o 

a bi: 倒 盘 块 页 面 从 文件 或 交换 设备 到 内 存 的 总 额 。 

以 下 vmstat 的 输出 结果 ， 不 是 演示 一 个 在 IO 应 用 中 ， 虚 拟 内 存在 高 负荷 情况 下 的 环境 : 


# vmstat 3 









































procs memory swap io system cpu 

oep owp r ree bure ca hea sosbam soo necs qus sve c ws 

ZEO N sd tovste HORRORE ovS exSxolOr ed ILIO UO) ord pd POL don (es cioe ce Tug Su (o IR 

SOE A TH TOUT oss NO CST FORZE Las CIRQUE loops ib eode (o UE dus 

1 

S200 70 0 A U2 O00 0 Oe 0 

ZOGEN qu E II 

ZIEL G00 CNET MSIE C GODS od MED MENO NT SENE 

OOTO oo OMM D ce MODUM Ou o MS 2 SEA DIOS T TENOR AS 

duc MU UU Mq suu EU OO] 3c o ONES uS EE SME 

0 

SAG REO 4 2 6 A A E 

I OA A oso a r Eo OG OA ROME au C ONT MEE, 

全 全 325400 172667424901 22693 1012904 3597 9947 A2 LI cL A 20920 

Tero cr dg VE Og use oM MB TEAM 

2 2 

SOS Oe oa oO E TO ee ee Se MEIN M eM EE 

根据 观察 值 ， 我 们 可 以 得 出 以 下 结论 。 

= 大量 的 disk pages (bi) 被 号 入 内 存 ， 很 明显 在 进程 地 址 空间 里 ， 数 据 缓存 Ccache) 也 
在 不 断 的 增长 。 
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a 在 这 个 时 间 点 上 ， 空 用 内 存 (free〉 始 终 保持 在 17MB， 即 使 数据 从 便 盘 谈 入 而 在 消耗 
RAM. 
a 为 了 维护 空闲 列表 ，kswapd 从 读 / 写 缓存 区 (buff) "P3XBUAEJEA2) BROSJA PN FE HR, 
很 明显 可 以 看 到 buffer cache (buff) 在 逐渐 的 减少 中 。 
同时 kswapd 进程 不 断 的 写 脏 页 到 swap device Cso) 时 ， 很 明显 虚拟 内 存 的 利用 率 是 在 
逐渐 的 增加 中 〈swpd) 。 
15.3.06 ”内 存 监控 总 结 
监控 虚拟 内 存 性 能 由 以 下 几 个 部 分 组 成 。 
a 当 系 统 中 出 现 较 少 的 页 错误 ， 获 得 最 好 的 啊 应 时 间 ， 是 因为 memory caches CPI f£ rii 
缓存) 比 disk caches (HR mE ATT) 更 快 。 
sa 较 少 的 空闲 内 存 , 是 件 好 事情 , 那 意味 看 绥 存 的 使 用 更 有 效率 。 除非 在 不 断 地 写 入 swap 
device 和 disk。 
a 如果 系 统 不 断 报 告 : swapdevice 总 是 繁忙 中 ， 那 束 意 味 看 内 存 已 经 不 足 ， 需 要 升级 。 


BEZI uo 监控 详解 


15.4.1 1/0 监控 介绍 


做 盘 UO 子 系 统 是 Linux 系统 中 最 慢 的 部 分 ， 主 要 是 因为 CPU 到 物理 操作 磁盘 之 间 的 距离 
C FERE EAD 。 
15.4.2” 读 和 与 数据 一 一 内 存 页 

Linux 内 核 将 硬盘 VO 进行 分 页 ， 多 数 Linux 系统 的 默认 页 大 小 为 AKB«. EGRUS 34 EE 
到 内 存 都 为 4KB 页 大 小 。 可 以 使 用 time 命令 加 -v 参数 来 检查 系统 中 设置 的 页 大 小 : 


= fusr/bin/time =v dare 


















































SCC. 
Page size (bytes): 4096 


«eua o 
15.4.3 Major and Minor Page Faults ( 主要 页 错误 和 次 要 页 错误 ) 


Linux 2&4 Z ZU] UNIX 系统 ,使 用 一 个 虚拟 内 存 层 来 映射 便 件 地 址 空间 。 当 一 个 进程 被 局 
动 ， 内 核 先 扫 摘 CPU caches 和 物理 内 存 。 如 末 进 程 需 要 的 数据 在 这 两 个 地 方 都 没 找 到 ， 束 需要 
MBR ERR, EN AITE major page fault (MPF) 。MPF 要 求 做 盘子 系统 检索 页 并 绥 存 
Xt RAM. 

一 旦 内 存 页 被 映射 进 内 存 的 buffer cache (buff) 中 ， 内 核 将 尝试 从 内 存 中 读 取 或 写 入 ， 此 时 
内 核 过 程 束 是 minor page fault (MnPF) . SERA EEEH, MnPF 通过 反复 使 用 内 存 中 的 内 
存 页 大 大 缩短 了 内 核 时 间 。 
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VIRES. 企业 Linux 系统 及 性 能 监控 ENHEEEN 
下 面 使 用 time 命令 验证 当 进 程 启动 后 MPF 和 MnPF 的 变化 情况 。 在 第 一 次 运行 进程 时 ， 
MPF 会 更 多 : 


= fusr/bin/time =v evolucion 





<snip> 

Major (requiring I/O) page faults: 163 

Minor re c taining a Trone) egest amis e ONES 

-Snip 

第 二 次 再 运行 时 ， 内 核 已 经 不 需要 进行 MPF 了 ， 因 为 进程 所 需 的 数据 已 经 在 内 存 中 : 


= /usr/bin/trime =y evolution 





< > 
Major (requiring I/O) page faults: O0 
Minor (COM LMI a Trame) page qud oO 


Snp 


15.4.4 The File Buffer Cache ( 文件 缓存 区 ) 





文件 绥 存 区 就 是 内 核 将 MPF 过 程 最 小 化 ， 而 将 MnPF 过 程 最 大 化 。 随 看 系统 不 断 地 产生 
I/O, buffer cache 也 将 不 断 地 增加 ， 直 到 内 存 不 够 ， 以 及 系统 需要 释放 老 的 内 存 页 去 给 其 他 用 户 
进程 使 用 时 ,系统 就 会 丢弃 这 些 内 存 页 。 络 果 是 很 多 系统 管理 员 对 系统 中 过 少 的 free memory (至 
WAT) 表示 担心 ， 实 际 上 这 是 系统 更 高 效 地 在 使 用 caches. 

下 面 来 但 看 /proc/meminfo 文件 : 


$ cat /proc/meminfo 











MemTotal: 2005072 kB 

MemFree: 52528 KB 

Büffers: 24590 kB 

Cached: 1766844 KB 

Snp 

可 以 看 出 , 该 系统 总 计 有 2GB(MemTotal) 的 可 用 内 存 , 当前 的 空闲 内 存 为 S2MB(MemFree )， 
有 24 MB 内 存 被 分 配 磁盘 写 操 作 (Buffers) ， 还 有 L7 GB 页 用 于 读 磁 盘 〈Cached) 。 











15.4.5 Type of Memory Pages 


在 Linux 内 核 中 ，Memory Pages 有 三 种 ， 分 别 如 下 。 

a Read Pages。 这 些 页 通过 MPF 从 磁盘 中 读 和 入， 而且 是 只 谈 。 这 些 页 存在 于 Buffer Cache 
中 以 及 包括 不 能 够 修改 的 静态 文件 、 二 进 制 文 件 、 库 文件 。 当 内 核 需 要 它们 时 ， 将 旋 
取 到 内 存 中 ; 如 果 内 存 不 足 ， 内 核 将 释放 它们 到 空 几 列表 中 。 程 序 再 次 请 求 时 ， 则 通 
过 MPF 再 次 读 回 内 存 。 

a Dirty Pages。 这 些 页 是 内 核 在 内 存 中 已 经 被 修改 过 的 数据 页 。 当 这 些 页 需要 同步 回 磁 要 
E, Hi pdflush 负责 写 回 磁 禹 。 如 果 内 存 不 足 ，kswapd( 与 pdflush 一 起 ) 将 这 些 页 写 





























441 


防线 


企业 Linux 安全 运 维 理念 和 实战 


442 





回 到 磁盘 上 并 释放 更 多 的 内 存 。 
= Anonymous Pages。 这 些 页 属于 某 个 进程 ， 但 是 没有 任何 磁 熏 文件 和 它们 有 关 。 它 们 不 
能 够 同步 问 磁 盘 。 如 果 内 存 不 足 ，kswapd 将 它们 写 入 swap 分 区 上 并 释放 更 多 的 内 存 。 


15.4.6 Writing Data Pages Back to Disk 














应 用 程序 有 很 多 选择 可 以 写 脏 页 回 磁盘 上 ， 可 通过 UO 调度 右 使 用 fsyncOzk syncO £56 ER 2t 
来 实现 立即 写 回 。 如 果 应 用 程序 没有 调用 以 上 函数 ，pdflush 进程 会 定期 与 磁盘 进行 同步 。 


15.4.7 监控 1/O 











当 觉 得 系统 中 出 现 了 LO 瓶 癸 时， 可 以 使 用 标准 的 监控 软件 来 查找 原因 。 这 些 工具 包括 表面 
介绍 的 top、vmstat、iostat、sar。 它 们 的 输出 结果 一 小 部 分 是 很 相似 的 ， 不 过 每 个 都 提供 了 和 名目 
对 于 性 能 不 同方 面 的 解释 。 


15.4.8 Calculating IO’s Per Second ( IOPS 的 计算 ) 











每 个 UO 请 求 到 磁 姐 都 需要 名 干 时 间 ， 主 要 是 因为 磁盘 的 检 边 必须 旋转 和 机 头 必须 寻 道 。 
人 厂 盘 的 旋转 稍稍 被 称 为 “rotational delay" (RD) ， 机 头 的 移动 称 为 “disk seek” (DS) 。 一 个 
LO 请 求 押 需 的 时 间 计 算 承 是 DS 加 上 RD. WER RD 基于 设备 自身 的 RPM 单位 值 (RPM 是 
Revolutions Per-minute 的 缩写 ， 是 转 / 每 分 钟 ， 代 表 了 硬盘 的 转速 ) 。 一 个 RD 驶 是 一 个 盘 片 旋转 
的 半圆 。 那 么 如 何 计 算 一 个 10K RPM 设备 的 RD EWE? 主要 分 为 以 下 几 步 。 

(1) 10000 RPM / 60 seconds (10000/60 = 166 RPS) ; 

(2) 转换 为 166 分 之 1 的 值 (1/166 = 0.006 seconds/Rotation? ; 

(3) Hr SEM C6ms/Rotation) ; 

(4) 旋转 半圆 的 时 间 (6/2= 3ms) ， 也 就 是 RD; 

(5) 加 上 平均 3ms 的 寻 道 时 间 (3ms + 3ms = 6ms) ; 

(6) 加 上 2ms 的 延迟 (6ms + 2ms = 8ms) ; 

(7) 1000ms / 8ms (1000/8 = 125 IOPS) 。 

每 次 应 用 程序 产生 一 个 IO， 在 10K RPM 磁盘 上 都 要 花 旨 平均 8ms。 在 这 个 固定 时 间 里 ， 
人 厂 盘 将 尽 可 能 且 有 效 地 读 写 磁盘 。IOPS 可 以 计算 出 大 致 的 IO 请 求 数 ，10K RPM 磁盘 有 能 力 提 
供 120-150 次 IOPS。 评 估 IOPS 的 效能 可 用 每 秒 谈 与 VO 子 市 数 除 以 每 秒 读 写 TOPS 数 得 出 。 


15.4.9 Random vs Sequential I/O ( 随机 /顺序 1/O ) 

















每 个 IO 产生 的 KB 字 节 数 是 与 系统 本 身 workload 相关 的 ， 有 两 种 不 同 的 workload 类 型 ， 
它们 是 sequential 和 random 。 


1. sequential I/O (顺序 IO) 
iostat 命令 提供 的 信息 包括 IOPS 和 每 个 IO 数据 处 理 的 总 额 ， 可 使 用 iostat -x 查看 。 顺 序 的 


workload 是 同时 读 顺 序 请 求 大 量 的 数据 。 包 括 的 应 用 有 商业 数据 库 (database) 在 执行 大 量 的 查 
询 和 流 媒 体 服 务 。 在 这 个 workload 中 ，KB per LO 的 比率 应 该 是 很 高 的 。sequential workload 可 








ERRI: 企业 Linux 系统 及 性 能 监控 








以 同时 很 快 地 移动 大 量 数据 。 如 采 每 个 IO 邦 证 省 了 时 间 ， 那 就 意味 看 能 市 来 更 多 的 数据 处 理 。 


| 


avg epu. USer $nice $Sys $idle 
Ore OO Oe 010, Sl 1 
Device: rrqm/s wrqm/s r/s w/S rsec/s wsec/s rkB/s wkB/s 


avgrq-sz avgqu-sz await Sm E 


e 00 53040.00 
Eee cO NEED Oo cM MED 


/dev/sdal 0.00 20.00 Ora. 0.00 0.00 0.00 OEKO! 
OKONO, 0.00 0:00 0.00 0.00 
Acier eee DO EET c DIM qr Des), MOE IAR DADA CS 


| 区 

/dev/sda3 0.00 34.29 i16 COMPE OO O8 NM O9. (0 2o 0.00 iom 
2 PONI oq 0 a tud Up 2v 

avg opu. usen omi Sys ce 

QUO EDDIE x Mt 

Device: rrqm/s wrqm/s Do WAS rsec/s wsec/s rkB/s wkB/s 


avgrq-sz avgqu-sz await ciweeden E 


rder scc ONDE oues ONDE 4 ON) 0 TA Se 
| POE S a E a S O a T Dd 


/dev/sdal 0.00 0.00 Qao 0500 0.00 0.00 0.00 000810 
0.00 (055100) UD) st 0.00 
Ce L320 UU CE oue 


1344.00 6809,71 952.29 28.57 294,12 

Hev odas OOO OT 0-00 0.00 OE OD) 952.94 0- 00 1976-47 
0.00 165-56 U QU QT 18) 216.47 

评估 IOPS 的 效能 , 可 用 每 秒 谈 写 IO F EAER PARERE IOPS 数 得 出 , 比如 rkB/s BREA r/s 
和 wkB/s 除 以 w/s: 

SOOT 0 


505KB per I/O 


ll 697KB per I/O 


在 上 面 的 例子 可 以 看 出 ， 每 次 循环 下 ，/dev/sda 的 per VO 都 在 增加 。 
2. random I/O (随机 IO) 


random 的 worklaod 环境 下 ， 不 依赖 于 数据 大 小 的 多 少 ， 而 更 多 的 是 依赖 磁盘 的 IOPS 数 。 
Web 和 Mail 服务 束 是 典型 的 random workload, I/O 请 求 内 容 都 很 小 。random workload 同时 每 秒 
会 有 更 多 的 请 求 数 产生 ， 所 以 全盘 的 IOPS 数 是 关键 ， 如 下 所 示 : 


e above en c adl 
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Qu CPU: -Uer Smee oys -die 

ZO ATOTO O O TOON 

Device: rrqm/s wrqm/s r/s w/s rsec/s wsec/s rkB/s wkB/s avgrq-sz avgqu-sz 
uela. wa ebasdb de 


rdev oda 90 699 679. 6 2 dd dea usce o x 2d AGED Dp o d OO 
jus META ESO NU) 


/dev/sdal 0.00 Seo NORIS r O OR QNNM EIU 0.00 ono Zee. bc ds 
SD POTD DUOI 


pden 0 nmm NE T A E a T a A O ue 
le S ANO 


/dev/sda3 0.00 Qus Dor Sp Oe CQ URS) C00 OO 8910) OO OO 
OAO O OE TOOG 

SVgecpue 2USGIT NI eC Syo dle 

E S O O uo 

Device: rrqm/s wrqm/s r/s w/s rsec/s wsec/s rkB/s wkB/s avgrq-sz avgqu-sz await 
Evene. De 

/ dev/sda O00 41.94 6.45 下 300393 Sul: 252r O9 DOM Sd non 
Qo OE US 2 MS OT IS 

/dev/sdal 0.00 0.00 QUO Qu ES UD QUEUE ONE UN Que Qa 190896] R8 1018 
QUO 0 EE OLIO 

/ dev/sda2 0.00 41.94 4.30 1.50 c XS 34.41 Sus. (oie ru Su uod 
Zub sd es IO cope eee 

rdev sda o O 000 90 2 E O00 e AD mesos DO 
EO O OIN 

计算 方式 和 之 前 的 公式 一 致 : 

POD v SIE cores db AG. 











3176/130 2 24KB per I/O 


(对 于 顺序 UO 来 说， 主要 是 考虑 读 取 大 量 数据 的 能 力 ， 即 KB per request。 对 于 随机 UO 系 
统 ， 更 需要 考虑 的 是 IOPS 值 ) 。 


15.4.10 ”判断 虚拟 内 存 对 1/O 的 影响 


如 果 系 统 没有 足够 的 RAM 啊 应 所 有 的 请 求 ， 束 会 使 用 到 SWAP device。 束 像 使 用 文件 系统 
I/O, EH] SWAP device 的 代价 也 很 大 。 如 果 系 统 已 经 没有 物理 内 存 可 用 ， 那 就 会 在 SWAP disk 
上 创建 很 多 很 多 的 内 存 分 页 ， 如 果 同 一 文件 系统 的 数据 都 在 尝试 访问 SWAP device， 那 系统 将 遇 
到 LO 瓶颈 ， 最 终 导致 系统 性 能 的 全 面 朋 泪 。 如 果 内 存 页 不 能 够 及 时 读 或 写 磁 盘 ， 它 们 驶 一 直 保 
MÆ RAM 中 。 如 果 保 留 时 间 太 和 久 ， 内 核 又 必须 释放 内 存 空间 。 因 此 ，LIO 操作 都 被 阻塞 住 了 ， 
什么 都 没 做 束 被 结束 了 ， 不 可 避免 地 就 出 现 kernel panic 和 system crash. 
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下 面 的 vmstat 示范 了 一 个 内 存 不 足 情 况 下 的 系统 : 


I 

e swpd free buff cache Si SO ou bo DIOS us sy 1d wa 
PIEN 1250 3248 45820 1488472 03 992 O E 30023 
E B E a E a e E e SOULS 416 Qu Su Hp EL Ino Tere gu CXOReHO) 
JE ND E20 00 20 9023 oo 4 OR U s XE ONES 
dro E sare IR e Eom E IE d oie ore 2:500 QOIS A EON Ice MEETS 
14 2 10385 2400 44484 1489732 DUST AED AOD Sa HLOIEIS 40 0L ILZ. RO oxS 
Tar 2 12671 2280 43644 1488816 E es E20 








从 这 个 结果 可 以 看 出 : 大 量 的 读 请 求 回 内 存 (bi) ， 导 致 了 空闲 内 存在 不 断 地 减少 (free), 
这 束 使 得 系统 写 入 SWAP device 的 块 数 日 (so) 和 swap 空间 (swpd) 在 不 断 地 增加 。 同 时 看 到 
CPU WIO time (wa) 百分比 很 大 。 这 表明 IO 请 求 已 经 导 任 CPU 开始 效率 低下 。 

要 看 swaping 对 倒 盘 的 影响 ， 可 使 用 iostat 检查 swap 分 区 ， 如 下 所 示 : 


| 








avg Cl Ucet Nee oyo dle 

Oo O OO EO 

Device: ERO ee e E w/S rsec/s wsec/s rkB/s WkB/s 
avgrq-sz avgqu-sz await Sweep sse adl 


/dev/sda 0.00 有 
ORGA 5020 S00 EM OI 


/dev/sdal 0.00 OON Oo E lg, 0.00 Ou TIE ERLE C NOB 39/5567 
ORRO ZOOO Or a OO 

/dev/sda2 0.00 DEO 29057 9594 20:300 Sexeleto io. T SIS COLS | 
Z9: ero i Sed. URDU S00 Oe DEED 


/ dev/sda3 0.00 DIO OI NOD 1700.-00 266.67 PRIO SSS SSS 11466.67 
1:5: 36 6133-33 358-46 11.35 1966.-67 
在 这 个 例子 中 ，swap device (/dev/sdal) 和 file system device C/dev/sda3) 在 互相 作用 于 IO。 
其 中 任意 一 个 会 有 很 高 的 写 请 求 Ow/so ， 也 会 有 很 局 的 wait time CawaiO ， 或 者 较 低 的 服务 时 
间 比 率 〈svctm) ， 这 表明 两 个 分 区 之 间 互 有 联系 ， 互 有 影 啊 。 


15.4.11 1/0 监控 总 结 





VO 性 能 监控 包含 了 以 下 几 点 。 

a “CPU 有 等 待 IO 的 情况 时 ， 那 说 明 磁 盘 处 于 超 负 谷 状 态 。 

a ”计算 你 的 磁盘 能 够 承受 多 大 的 IOPS Zi. 

确定 你 的 应 用 是 属于 随机 或 者 顺序 读 取 磁盘 。 

a 监控 磁盘 慢 需 要 比较 wait tme (await) 和 service time (svctm) 。 

监控 SWAP 和 系统 分 区 ， 要 确保 Virtual Memory 不 是 文件 系统 VO 的 瓶颈 。 
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500 强 企 业 除了 需要 具备 系统 和 设备 的 
监控 功能 外 ， 还 需要 对 其 网 络 使 用 状况 进行 
周密 地 监控 、 处 理 和 优化 ， 才 能 切实 保证 企 
业 信 息 安全 。 在 企业 级 Linux 操作 系统 中 ， 
提供 了 许多 优秀 的 开源 网 络 监控 工具 辅助 网 
络 管理 人 员 和 信息 安全 工作 人 员 来 进行 网 络 
监控 和 管理 。 因 此 ， 本 章 将 挑选 一 个 企业 应 
用 最 为 广泛 和 稳定 的 Cacti 工具 来 进行 介绍 。 
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见 微 知 著 : 企业 级 Linux 网 络 监控 


ETAR Cacti 网 络 监 控 工 具 简 介 





Cacti Ccacti.net). 是 一 个 随 看 时 间 推 移 〈 时 间 序 列 数据 ) 用 网 表 显 示 系 统 和 网 络 信息 的 网 络 
监测 工具 ， 并 提供 一 个 全 功能 的 Web 界面 ， 可 以 浏览 和 检 答 网 络 设备 的 实时 性 能 。 例 如 ， 可 以 
配置 Cacti 来 监控 经 过 本 地 服务 右上 的 网 络 问 口 \ 本 地 网 络 上 的 交换 机 和 路 由 需 问 口 的 网 络 流 量 。 
Cacti 疼 形 提供 网 络 各 个 部 分 的 流量 级 别 信息 。 当 网 络 速度 很 慢 时 ， 可 以 参考 历史 网 表 ， 答 看 是 
盏 发 生 了 任何 超出 普通 网 络 流量 的 事情 ，Cacti 可 以 收集 CPU 利用 率 、 磁 盘 空 间 使 用 率 、Web Hk 
务 器 上 的 页 面 浏览 量 和 本 地 网 络 上 的 几乎 所 有 其 他 数据 。 
Cacti 收集 随 看 时 间 推 移 的 基线 〈 典 型 值 ) 数据 ， 可 以 使 用 这 些 信 息 来 增加 对 系统 和 网 络 实 
时 行为 的 洞察 力 ， 并 帮助 解决 问题 。 这 些 信 息 甚 全 可 以 预测 未 来 可 能 发 生 的 事情 《〈 例 如， 当 厂 盘 
很 可 能 被 占 满 时 ) 。 当 安 闭 并 配置 Cacti 时 ， 它 会 定期 轮 询 网 络 设备 以 获取 所 需 数据 ， 并 把 数据 
存储 在 RRD 文件 ， 用 于 RRDtool (HIRAEL, oss.oetiker.ch/rrdtool? > Cacti Web 界面 允 
许 浏 览 设 备 和 图 形 列表 ， 并 可 看 到 随 看 时 间 推 移 的 设备 的 可 视 化 表示 。 
Cacti 是 下 一 代 监 测 工具 的 一 部 分 。 它 是 在 以 往 工 具 吸 取 教 训 的 基础 上 构建 的 如 MRTG 和 
Cricket 工具 。 这 些 工具 都 具有 以 下 功能 。 
n 定期 轮 询 跟踪 设备 数据 。 收 集 这 些 数据 最 常用 的 工具 是 SNMP“《〈 简 单 网 络 管理 协议 ， 
www.net-snmp.org) . 

s。 ”把 数据 存储 在 一 个 RRD 文件 。 

» HA Web 界面 ， 可 以 检 奏 从 存储 数据 生成 的 图 表 。 这 些 图 表 通 名 显示 每 天 、 
月 和 每 年 的 信息 。 

不 同 的 是 : Cacti 的 配置 是 通过 其 Web 界面 来 实现 的 ， 而 MRTG 和 Cricket 的 配置 是 通过 编 
辑 文本 文件 来 实现 的 。 

RRD 文件 和 RRDtool 是 Cacti 许多 功能 的 关键 。Cacti 网 站 将 Cacti 描述 为 “完整 的 基于 
RRDtool 的 岁 形 解决 方案 。”RRD 文件 存储 有 效 的 时 间 序 列 数 据 ， 通 过 使 用 聚合 功能 ， 更 容易 剑 
存 最 近 时 间 段 的 大 量 细 节 信 息 ， 但 逐渐 减少 Cacti 文件 中 时 间 较 长 的 细节 数据 。RRDtool 可 以 很 
容易 地 从 RRD 文件 产生 既 简单 又 复杂 的 图 形 。Cacti 提供 了 许多 扩展 和 插件 。 当 你 熟悉 Cacti 的 
基本 使 用 和 操作 时 ,请 访问 cacti.net/additional scripts.php 以 了 解 新 增 列 表 部 分 。 还 可 以 访问 在 同 
一 站 点 的 文档 和 用 户 论坛 ， 获 得 更 多 关于 Cacti 的 信息 ， 以 及 学 习 如 何 为 不 同 设 备 和 数据 源 添 加 
功能 和 支持 。 

Cacti 是 用 PHP 语言 实现 的 一 个 软件 ， 它 的 主要 功能 是 用 SNMP 服务 获取 数据 ， 然 后 用 
RRDtool 储存 和 更 新 数据 ， 当 用 户 需 要 答 看 数据 的 时 候 用 RRDtool 生成 图 表 呈 现 给 用 户 。 因 此 ， 
SNMP 和 RRDtool 是 Cacti 的 关键 。SNMP 关系 看 数据 的 收集 ，RRDtool 关系 看 数据 存储 和 图 表 
的 生成 ; MySQL 配合 PHP 程序 存储 一 些 变 量 数据 并 对 变量 数据 进行 调用 , Wis 主机 名 、 主 机 IPS 
SNMP 团体 名 、 端 口号 、 模 板 信 息 等 变量 ，SNMP 抓 到 数据 不 是 存储 在 MySQL 中 ， 而 是 存储 在 
RRDtool 生成 的 RRD 文件 中 (在 Cacti 根 目录 的 RRA 文件 夹 下 ) 。RRDool 对 数据 的 更 新 和 存储 
残 是 对 了 RRD 文件 的 处 理 ，RRD 文件 是 大 小 固定 的 档案 文件 〈Round Robin Archive) ， 它 能 够 存 
储 的 数据 必须 在 创建 时 就 已 经 定义 。 其 工作 架构 和 流程 如 图 16-1 和 图 16-2 所 示 。 
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调度 其 他 模块 进行 工作 以 及 













与 用 户 的 接口 
|n EE Net-SNMPF 
保存 模板 rra 与 主机 | 数据 采集 
对 应 等 等 信息 
数据 存储 以 及 绘图 
a 16-1 Cacti TILES 架构 
d i ie ia 
4、 查 找 该 设备 对 、 将 图 形 返 回 给 用户 
应 的 rra 文 件 名 彩 CACTI 
duse 5. (i rrdtool Net-SNMP-«———— $ 
进行 绘图 1、 定 时 采集 数据 
Ve 





logging & graphing 


图 16-2 Cacti 的 工作 流程 


ELTE 安装 和 配置 Cacti 


Cacti 的 安装 过 程 比较 复 锥 ， 且 安装 的 相关 组 件 也 比较 多 ， 包 括 Apache, PHP. MySQL 等 。 
下 面 对 其 主要 的 安 闭 过 程 进 行 详细 介绍 。 


16.2.1 安装 辅助 工具 


1. 安装 MySQL 

MySQL 的 下 载 地 址 为 : http:/dev.mysqlcom/downloads/mysql5.0.html， 按 照 以 下 步骤 执行 
BN 可 : 

// 奏 看 系统 中 是 合 已 经 安装 MySQL， 如 果 是 ， 即 载 所 有 以 MySQL 开头 的 包 

# rpm -qa | grepmysql 





u 25m my > 
/ /查找 /etc/my.cnf (MySQL 的 选项 配置 文件 ) ， 如 果 有 ， 请 删除 它 ， 以 免 影响 新 安装 版 本 的 启动 。 


Hm ere nm cnf 





uc Eie Zvi esol standared 30 mc Linux cabo oo e c dbat tei o ecu S oz 
uw jor Tm me o 0e 2 1 ne TGS Io 2 GI bres cal 
// 建 并 符 写 链接 ， 如 果 以 后 有 新 版 本 的 MysoL 的 话 ， 你 可 以 仅仅 将 源码 解压 到 新 的 路 径 ， 然 后 重新 做 
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个 符号 链接 就 可 以 了 。 这 样 非常 方便 ， 数 据 也 更 加 安全 。 
4? ln -s mysql-standard-5.0.27-l1inux-i686-glibc23 /usr/local/mysql 
/ SU 5) MysQL 的 用 户 及 用 户 组 “如 果 以 前 安装 过 MySQL， 用 户 及 用 户 组 可 能 已 存在 ) 。 
# useraddmysql 











# groupaddmysql 

// 初 始 化 授权 表 

jo oci ausus loc ads my ee 

Nas emp m- ll 

// 修 改 MySQL 目录 的 所 有 权 

iod ss oci 

ecu m ms TS eme cto 2 spe OS SC 
chg =R mysal 


Sena Rm e nr e El 0 eO CIO SC 2 E a 


HEET EHE 


chown -R mysqimysql/data 

mecs esr LocolAmvscdq mss roce 

/ / A3] MySQL 

* bin/safe mysqld --useremysql& 

// 配 置 系统 司 动 时 目 动 局 动 MySQL 
| 
4$ chkconfig --add mysqld 

/ / EA MySQL 的 最 大 连接 数 

* vi /etc/my.cnf 

// 添 加 以 下 行 

[mysqld] 

Se CO Cl 

dl Uis ene TOO eo ENS se 
是 

//max connections 设置 最 大 连接 数 为 1000 

//max user connections 设置 每 用 户 最 大 连接 数 为 500 

//wait timeout 表示 200 秒 后 将 关闭 空闲 CIDLEO 的 连接 ， 但 是 对 正在 工作 的 连接 不 影响 。 
// 你 存 退 出 ， 并 重新 局 动 MySOL 

// 重 新 局 动 MySQL 后 使 用 下 面 的 命令 得 看 修改 是 售 成 功 


ee 





























Password: 
// 可 以 看 到 以 下 项 ， 说 明 修 改 成 功 
mexeeonme eons | 1000 
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eo es a A EOE | 500 

1 A UN | 200 

2. 安装 Apache 

Apache 的 下 载 地 址 为 : http:/httpd.apache.org/。 
uw EEUS le ne oe IZ d Ec erc 


K cd httpd-2.2.4 


* ./configure --prefix-/usr/local/apache --enable-so 
/ /编译 时 加 上 加 载 模 块 参数 --enable-so 
# make 


# make install 
Ps /usr/local/apache/conf/httpd.conf 
/ /修改 Apache 配置 文件 ， 添 加 ServerNamewww.yourdomain.com (或 ServerName 本 机 IP) 


i yL Ade ccm r€. local 





//f£ rc.local LEJA—frT/usr/local/apache/bin/apachectl -k start. f&£t/Hsh S) 
Apache 服务 。 

3. EU PHP 

先 安装 zlib, freetype, libpng, jpeg 以 便于 让 PHP xc 4f GD JÆ (Cacti 的 WeatherMap 插件 需 
要 GD 库 的 文 持 ) 。 库 文件 下 载 地 址 : http://oss.oetiker.ch/rrdtool/pub/libs/. 

(1) ZX zlib. 

Pe 

i Wl E 

# ./configure --prefix-/usr/local/zlib 

imake 

make install 

(2) Z% libpng- 

1 

Kcd libpng-1.2.16 

tcd scripts/ 

#mv makefile.linux ../makefile 

vede 

imake 


rnc insgrcall 





(3) 安装 freetype. 
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te .tar.gz 
#cd freetype-2.3.4 
#./configure --prefix-/usr/local/freetype 
#make 
#make install 
(4) 安装 jpeg。 
ee EQ 
cd jpeg-6b/ 
meai ee le de 


Pe A Oe /a re de 


mkdir /usr/local/libjpeg/lib 


# 
# 
4$ mkdir /usr/local/libjpeg/bin 
* mkdir /usr/local/libjpeg/man 


mkdir /usr/local/libjpeg/man/mani 





//H]UAH] mkdir p /usr/local/libjpeg/man/man1l TU ze E Hs 
# ./configure --prefix-/usr/local/libjpeg --enable-shared --enable-static 


io make && make install 


这 里 configure 一 定 要 带 --enable-shared 参数 ， 不 然 ， 不 会 生成 共享 库 。 





(5) 安装 fontconfig. 

E owe eI A A ctt ORE eoa 

"cul dowd ECON TO dodi 

#make#make install 

(60 ZR GD. 

ee otii a eet e 

uel ore die $4. 

4$ ./configure --with-png --with-freetype-/usr/local/freetype --with-jpeg-/ 
Use roca DITH] ped 

#make 

#make install 

编译 时 显示 以 下 信息 : 


EU OE eT tT Il ce 2E re 





Seo er er PNGA I a yes 
eh 2 9E Ea (e CI oeste wat yes 
OPOLE ToS EO cS cc OMESOT ENERO S 


Sunset: oaa IO WIE C NEFA TI DOTAD: yes 
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Support for Xpm library: no 
Support for pthreads: yes 
C7) 编辑 /etc/ld.so.conf。 
添加 以 下 几 行 到 此 文件 中 : 
"bsp Mee ec ez UE IS 


/usr/local/freetype/lib 
"eq roc db e cM 
"moss ug ets 
并 执行 ldconfig ME, EHSA A RRT EREE 
(8) 安装 libxml. 
E aE E S om Z2 om E 
i ee nl ed 01 
* ./configure 
# make 
# make install 
(9) 安装 PHP. 
PHP 下 载 地 址 : http://www.php.net/downloads.php£v5. 
mde zo rebppe IT 
POSE SS mE A qe 
f./configure --prefix-/usr/local/php --with-apxs2-/usr/local/apache2/bin/ 
apxs --with-mysql-/usr/local/mysql --with-gd-/usr/local/libgd --enable-gd-native 
-ttf --with-ttf --enable-gd-jis-conv --with-freetype-dir-/usr/local/freetype 
证 
local/zlib --enable-xml --enable-mbstring --enable-sockets 
# make 
# make install 
TEN IMEEM SI ANOCade a ol Pg e d 
* vi /usr/local/apache/conf/httpd.conf 
查找 AddType application/x-compress .Z: 
et A le 0 eT 
在 其 下 加 入 AddType application/x-tar .tgz: 
eel TO a Ir te rl Tl i 
EO ar eaS a o ae 
修改 DirectoryIndex 行 ， 添 加 index.php. 
修改 为 : 


DirectoryIndexindex.php index.html index.html.var 
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cw A oe I e Ee oea ISTIS TOTO, 
添加 以 下 行 : 
«?php 
Phpinfo(); 
?> 
保存 退出 。 
$? /usr/local/apache/bin/apachectl -k stop 
$/usr/local/apache/bin/apachectl -k start 
在 浏览 器 中 输入 httpz//www.yourdomain.com/test.php 进行 测试 。 
对 PHP 编 详 选 项 的 解释 : 
--prefix-/usr/local/php // 指 定 PHP 的 安装 目录 
--with-apxs2=/usr/local/apache2/bin/apxs// 支 持 Apache 模块 


--with-mysql-/usr/local/mysql / / Xx MySQL 
--with-gd-/usr/local/libgd / / Xf GD FE 

--ineble-gii-ueucawete t // 激 活 对 本 地 TrueType 字符 串 函 数 的 支持 
--with-ttf // 激 活 对 EreeType 1.x 的 支持 


--with-freetype-dir-/usr/local/freetype // MORA] FreeType 2.x 的 支持 





--with-jpeg-dir-/usr/local/libjpeg // 激 活 对 jpeg-6b 的 支持 
--with-png-dir / /激活 对 png 的 支持 
--with-zlib-dir-/usr/local/zlib // 激 活 对 zlib 的 支持 
--enable-mbstring // 激 活 mbstring 模块 
--enable-gd-jis-conv //fii JIS-mapped 可 用 ， 文 持 日 文字 体 
--with-mail / / X-Fi Mail 函数 

--enable-xml // 文 持 XML 

--enable-sockets / /SREESBETE 





(100 安装 RRDTool. 


由 于 rrdtool-1.2.23 mE FL, Mio zcAMNUE CRRHJMNSR. AAT EX. 
直接 运行 以 下 bash BELA ufo n] EA Se e 22388: 


将 cgilib-0.5.tar.gz. zlib-1.2.3.tar.gz. libpng-1.2.18.tar.gz. freetype-2.3.5.tar.gz . 


libart lgpl-2.3.17.tar.gz. rrdtool-1.2.23.tar.gz 3X £|/root/rrdtool-1.2.23 目录 下 ， 将 脚 
Jk k Æ A root/rrdtool-1.2.23/rrdtoolinstall.sh , 并 给 执行 权限 chmodu+x 
/root/rrdtool-1.2.23/rrdtoolinstall.sh. 

以 下 链接 是 重新 打 好 的 一 个 rrdtool-1.2.23 的 安装 包 , 里 面包 括 了 所 有 用 到 的 库 文 
件 和 安装 脚本 ， 下 载 解压 后 执行 脚本 rrdinstall.sh 即 可 完成 RRDtool 的 安装 。 点 
+ FA rrdtool-1.2.23.tar.gz. 
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t! /bin/sh 

PUTERSBIER E a ei 

INSTALL DIR-/usr/local/rrdtool 

eel SUDDEN DHE ES 

E crasse c quu Sti 
Sao.— 0 3 

makon coc PIN GS OSEE 
mkdir -p SBUILD DIR/lb/include 

cp *.h $BUILD DIR/lb/include 
Ti 


人 


cd PUTEDIDIR 

ta onm TO eo Eara 2 

CEZ OS 

T PERC m DUM E UE Oa rre e RUTE DIR T 
make 


make install 


cal PEUT CODIR 

人 

Ga 

env CEPIEGISLINOBUNEDEDIC Ve deba LDFLAGS-"-LSBUILD DIR/lb/lib" CFLAGS 
SA 

ee 

Make 


make install 


cel SBUILD DIR 

tah Zy orb aoe Ear Z 

cd freetype-2.2.5 

env 人 是 民生 CFLAGS 
EA 

on 

Make 


make install 
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cal SOCED 

tartz EO E e 

cou dbsersieie a Eeo 2 
人 
make 


make install 


LR EUREDIDIE to nde 

CPPFLAGS-"SIR SIR/libart-2.0 SIR/freetype2 SIR/libpng" 
IDE AG Uu T PUTTAR CCOO ITDA 

CFLAGS--0O3 


export CPPRhAGS LDFLAGS CFLAGS 


cel SBUILD DIR 
人 


gelo ouest o 
en 


make install 


// 完 成 后 建立 符号 连接 

nece e occu irre od dod SN exse o cU MORIA 

// 执 行 RRDtool &7& f ZCR YER 

(11) 安装 net-snmp. 

Red Hat 默认 安装 了 SNMP 服务 ， 但 好 像 没有 snmpwalk,. snmpget 这 两 个 命令 ， 所 以 需要 编 
译 安 装 NET-SNMP. NET-SNMP 官方 网 站 为 : http:/www.net-snmp.org/。 








和 

Fechner “Sr SR 

#./configure --prefix-/usr/local/net-snmp --enable-developer 
#make 

#make install 
和 


ÉCpEXAMPLE.conf /usr/local/net-snmp/share/snmp/snmpd.conf 


/ /修改 snmpd.conf〔 修 改 COMMUNITY、 人 允许 抓 取 SNMP ŽEN MAAE . 
4? /usr/local/net-snmp/sbin/snmpd // 局 动 SNMP 服务 
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i Vi /SEC/EC. EG. LOGal 





// 在 rc.local 上 加 入 一 行 /usr/local/net-snmp/sbin/snmpd, 系统 局 动 时 局 动 SNMP 服务 。 


16.2.2 ”安装 Cacti 


1. 基本 安装 


Cacti 的 官方 网 站 为 : www.cacti.net/。 执 行 以 下 命令 : 

boue 7m cte ON E e 

4$ mv -r cacti-0.8.6j /usr/loca/apache/htdocs/cacti 

* vi /usr/local/apache/htdocs/cacti/include/config.php 


Dddegpsccmp pcm 


welguEsiceie e blenpssmdbr a e 
$database hostname = en: 
$database username - "cacti"; 
“databace mp VOOr a 

// 添 加 Cacti HP" 


# useradd cacti 

// 将 rra 目录 的 所 有 权 给 Cacti HP 
0 
/ /修改 Cacti 目录 所 属 组 
1 

/ / À Cacti HP czon f£& 

He 

? crontab -e 


> 
/dev/null 2»$&1 





2. 安装 Cactid 

Cactid 的 安装 需要 以 下 文 持 。 

= ”net-snmp-devel (需要 编译 安装 net-snmp 时 添加 --enable-developer 选项 ) 
= mysql 

»  mysql-devel (mysql W SC fF VE 2228 Je SAGA SED 

=  oOpenssl-devel (Red Hat 默认 安装 ) 
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me A EEE EA 

Ee Bs el 

4$ ./configure --with-mysql-/usr/local/mysql --with-snmp-/usr/local/net-snmp 
# make 

// 这 时 将 在 此 目录 下 看 到 多 出 了 cactid. cactid.conf 两 个 文件 

jeune v usrlocal/cdetsc 


ic ecpeoetedesobscsconpessrosoicsc t 


qv ns oda cocti cootra con // 修 改 cactia 配置 文件 
DB Host E 

DB Database cacti 

DB User cacti 

DB Pass cacti 

3. 效 据 库 配 置 

数据 库 配 置 如 下 : 


fmysql -uroot -p 
Posswosc: 
qeu eese ciuciudee Ore 


Query OK, 1 row affected (0.00 sec) 


ER 国有 De 


Query OK, 1 row affected (0.00 sec) 


uvecdbemdi 

Ge aus local apache h ocs cse 

He ee el 

Password: 

4. 完成 Cacti 的 安装 

主要 包括 如 下 儿 个 步骤 ， 即 可 完成 Cacti 的 安装 。 

CIO EÙ ags PHA http:/www.yourdomain.comycacti/。 
SAW HP: admin; VE: admin 

(20 更 改 密码 

(3) 设置 Cacti FSI ap rfe. UE] 16-3 所 示 。 


snmpwalk Binary Path /usr/local/ bin/snmpwalk 
snmpget Binary Path /usr/local/ bin/snmpget 
RRDTool Binary Path grs local dest ool 
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BHE Eonar Pati Jussu ee A me 


Cacti Log File Path user/ local/gpache/htdoco/cacti/log/cacti. log 


(ctu dbolteq- Pile Pain "Au cake cule ne el/ ee eh 


= - - - -< 
consale graphs ihreshid monitor | weatherma]g 





ionsole -> Cdi Settings —— — | gged in ss admin (Logout 















Nav Graphs 







| Cacti Settings (Paths) 
| Required Termii F PI 





Graph Management 


yl uzr/local/bin/zanpwalk 














Graph Trees The path to rour anmpealk binary. 























Data Sources snmpdget Binary Path | ^3 nmn T Ph 
pe |The Path pad mmpoet, binary. /usr/local/bin/sanpgst 
Thresholds The eth i EE bres dit bir /usr/local/birn/ szanmpbulkwalk 
VWaathermaps 

|&nmpgetnext Binary Path x 
Erorr A [usr/1ocal/bin/zmpestnert 
Deta quedes — RRDTocl Binary Path uzr/local/bin/rrdtool ] 
Data Lapat Mathe da The path to tha rrdtool binary. / = 

| RRDTocl Default Font Path | 

| The path to the rrdteol default true type font for version 1.2 and above. | 
Grach Tamzolates PHP Bi Path 
Host Templates The path to your PHP binary file (may require a php recompile to get — /ust/local/bin/pap 





| this fila). 


Data Templabes 


Threshold —— | Logging 
| Cacti Log File Path : ; 
| Tha path te your Cacti log fia (if blank. defaults to /log/cactilog)- /usr/ 1ocal/apachs2/htdocs/ cacti/ log/caeti 







Import — 
Export Templates 


| Alternate Poller Fath 


ETTI Cache binary. |aszz/local/cactid/cactid 





Settings 
System Utilitias 
ligar Maragerenk 


Léncut Lear 








16-3 Cacti 的 路 径 设置 
(4) 进入 Cacti 后 需 确 认 更 改 以 下 位 置 ， 如 图 16-4 和 图 16-5 所 示 。 


Console»Settings»General 








Way rh l prev 
c Man; amam (Finite core 13 I ics € 
rade Er Deo ee eqs ut Logfile ünly 
celum ies [^ wab DEME Marra 
t e cae iid ipd ad le plend ax iik log. [^ wab ARD deazh fynt 
[^ peh [apon Marrrpes 
| Hubar praem iliv li | 
hh Ta ro veri ta tha log kia, WAAHEHG: Leung |LOW = Statirticr and Errors 
Sua Tamplar | idi facon: Fiwhig than HON cr LOW can eaudst peas ak dpa l 


Hon Templaten 
Data Tamplate r 


[^ pasar Statii 
部 yau ara using Vh byrlan [earth]. rat ram polar rong gen D poke EE 






j| Polar 5 hr Trath Section 

ahautiba placed in Ha Fyi earn- E "RT 
x Herria 

Fan pisi Ted 1 ri i 


a Lb by Weka 

The 和 让 tr im rbslad. arera at e ten ec ee 
| [92e ar dort hava ambadéfad ZH vusport in PHP 

RDT ity Wars 

Tha jade ef €ROTaal That gu haya atalladf. 

SHOE Dafa 


Galah GHE qaepiare foe all rea hogti- 


At EF ie lit 
[rafguH. EHME raid dorrera Fan all na haiti : 


Tha DEME I Wa wr la Fer p-nibng hera. 

THE Passar] dv Rl 

Tha GAMP «3 Parray far galling Fata. EE 
Def pig WA Wr i v Pre i 


RHHP Part Fi If 
Deaf aub UES mark 86 be whid fir JAME Cali Tepiral^s TÀT. =| 





Tyran Uitti 
Lipan Management : 
Li Upis 













16-4 General 设置 
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Console>Settings>Poller 





Gonsala -> Caci patinga 


General | Paths | Poler | GraphExport | Visual | — Authentication | 





iure Graphe Cadi LLL ERESU SIDE 

cian e pu eae Ed 

ra'eph S anazameri Muller nabha 9 

Graph Tiaan 部 yau wish to itap tha pelli process, undhazk Uhis ban F pokarlnablad 
Pane ounces Pler Typa 

ELENE The Car polar Ex uia Ta Gating will Bala afiat st rari poe-g 





bni all 






Ts 









re irr Hartford FullarZasrafau F arne er 
Cir ri pum Lor nt Paller P z 
Dihs aput blethedi Thè Parahin if gairi pikad Dj e a Mdl à ighas Frar ii BO Oa 
pas i ahan wing omi ghp eil imgencea parlammnance. Pipam kE 
Ài amis bpe retg. D^ Can mad ana bert raghaj vite thay hepa (araade: 
Quz Tar 


Hor Turci le 


Cata Tarapita 
| ert I guiar 


usireg cac aiE mposa paslcmaspa. NOTE Apples bri 4e CACTEDS 
| Th appaia turum Bah Cap ui uas pega pospbb aa, This 
timecut aia ix in seccnds ER 
Puller Host Avinlsldrty ba haa — 5 

Dremm] Hae Eas te ln 






impronm Tapita 
Export Tamplabai 





ROUTE, | 





Thé type ci pq packet 52 rac. HOTI DOME ra-quiesr tht Ha Caen [me Pire =] 
rioa 1D: Ba H Br i uy Unix. 1 


TiTi Wa 






Byer iien 
PETTE -P ETET TOTE] 


Tha rmasimum threadi allowad per procasr, Uring a higher nurmiar van ji 
区 


Thè eriatad Caci wil ura to dataeróna P a hortis avadabla Fr pzling. Eg = Kelixels =] 


ms Pire 
leget Unas | Tha rt valus té uie dor host ICMP and UD pinging. This hort ANMP [i3 


tmazut aaa apphardes SHE pingi. 







ica Lhi, Tas Lm En jn 
Fake Dari 





amar and petig Port n Azm 


ETEN 使 用 Cacti 


16.3.1 Cacti 界面 介绍 


登录 Cacti 后 ， 
可 以 看 到 左上 角 是 两 
个 选项 卡 : console 和 Re 
graphs， 如 图 16-6 和 
| 16-7 所 示 。console ee 
表 丰 控制 合 ， 在 此 进 |e 
行 所 有 的 配置 等 操 Dee 
TF; 而 graphs 则 是 用 Oan Tennie 
来 得 看 所 有 服务 器 的 
性 能 图 像 的 界面 。 


16-5 Poller 设置 


— — 
console graphs 


e Create devices for network 
e Create graphs for your new devices 
e View your new graphs 


Management 


Graph Management 





Graph Trees 














Host Templates 





Data Templates 
Import/Export 
Import Templates 





Export Templates 


Configuration 


Settings 


System Utilities 





User Management 





Logout User 





16-6 Cacti 主 界面 





You are now logged into Cacti. You can follow 


Tha Farehbat pl polirna lamak a hopi ruat ja daun baha logpag as E E 


"mM À 
console graphs 


Graphs -> Tree Mode 
——————————Á—!jw——r 


È- Local Host 





MySQL Monitor 
El Advance Ping 
| |"Monitor TCP 80(Apache) 


^" Monitor TCP 3306(MySQL) 


E Monitor TCP 22(SSH) 


"Apache Monitor 


16-7 graphs 选项 卡 





459 


防线 
E dendi Linux 安全 运 维 理念 和 实战 


console 选项 卡 有 以 下 选项 。 

(1) Create. 

New Graphs: 创建 新 图 像 的 快捷 方式 。 

(2) Management。 

Graph Management: 网 像 管 理 。 可 以 在 此 删除 、 复 制图 像 ，Cacti 会 自动 创建 图 像 。 不 过 如 果 
我 们 有 特殊 的 需要 ， 比 如 将 几 张 图 上 的 数据 合并 在 一 张 图 像 上 的 话 也 可 以 在 此 手工 狐 建 图 像 。 

Graph Trees: KZP. Æ graphs FHE, BRER devices 是 树 状 结构 显示 的 ， 可 以 在 此 设置 
树 的 结构 。 

Data Sources: 管理 RRD 文件 ， 如 图 16-8 所 示 。 一 般 无 须 修改 ，Cacti 会 日 己 创建 RRD 文件 。 















a — 
console graphs 
Console -> Data Sources Logged in as admin (Logout) 
Data Sources [host: 127.0.0.1] 
bd ika Select a host: Localhost (127.0.0.1) Y Search: 
| > | 
Graph Management - 7 : NET 7 
<< Previous Showing Rows 1 to 30 of 48 [1,2] 
Graph Trees 
PE AET Data Input Method Active Template Name E 
--- RRAS Localhost - Advanced Ping PING - Advanced Ping v1.3 Yes PING - Advanced Ping v1.3 C 
Devices Localhost - Adwanced Ping PING - Advanced Ping v1.3 Yes PING - Advanced Ping v1.3 Ci 
Collection Methods Localhost - Advanced Ping PING - Advanced Ping v1.3 Yes PING - Advanced Ping v1.3 [Li 
Data Queries Localhost - Apache Statistics WebServer - Apache Statistics Yes WebServer - Apache Statistics L] 
Data Input Methods Localhost - Apache Statistics WebServer - Apache Statistics Yes WebServer - Apache Statistics EL 
Templates Localhost - Apache Statistics WebServer - Apache Statistics Yes WebServer - Apache Statistics 六 | 
Graph Templates EA TS TERY 
Localhost - Apache Statistics WebServer - Apache Statistics Yes WebServer - Apache Statistics C 
Host Templates 
à; Localhost - Apache Statistics WebServer - Apache Statistics Yes WebServer - Apache Statistics L 
Data Templates 
E ER Localhost - Apache Statistics WebServer - Apache Statistics Yes WebServer - Apache Statistics E 
Import Templates Localhost - Free Space - /dev/mapper/Vol Get Script Data (Indexed) Yes Unix - Hard Drive Space Ci 
Export Templates Localhost - IndexUsage teMySQL - Index Usage Yes teMySQL - Index Usage E 
Configuration Localhost - Load Average Unix - Get Load Average Yes Unix - Load Average C 
Settings Localhost - Load Average - 1 Minute Get SNMP Data Yes ucd/net - Load Average - 1 Minute B 
D RN Localhost - Load Average - 15 Minute Get SNMP Data Yes ucd/net - Load Average - 15 Minute L] 
System Utilities Localhost - Load Average - 5 Minute Get SNMP Data Yes ucdřnet - Load Average - 5 Minute B 
User Management P : s 
- Localhost - Locking and Slow teMySQL - Locking and Slow Yes teMySQL - Locking and Slow Ci 
Logout User 
Localhost - Logged in Users Unix - Get Logged In Users Yes Unix - Logged in Users B 
Localhost - Memory - Buffers Get SNMP Data Yes ucd/net - Memory - Buffers L] 
A Localhost - Memory - Cache Get SNMP Data Yes ucd/net - Memory - Cache [1 





16-8 Data Sources 管理 
Devices: 设备 管理 。 这 是 我 们 经 向 需 要 修改 的 地 方 ， 可 以 在 此 创建 新 的 设备 或 修改 其 名 称 


A^ re 
PST 





(3) Collection Methods. 
Data Queries 和 Data Input Methods 是 采集 数据 的 方式 ， 一 般 我 们 无 须 对 这 两 项 进行 修改 。 
(4) Templates. 


Graph Templates, Host Templates 和 Data Templates 分 别 为 图 像 模板 、 主 机 类 型 模板 和 数据 
模板 。 这 些 模板 可 以 导出 、 导 入 也 可 以 目 己 编写 ,一般 无 须 修改 。 
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(5) Import/Export.» 

Import Templates 和 Export Templates 是 对 上 述 模板 的 导入 、 导 出 。 我 们 可 以 在 Cacti 的 官方 
网 站 上 找到 这 些 模板 ， 不 过 需要 注意 模板 对 应 的 Cacti 版 本 。 

(6) Configuration. 

Settings: Cacti [f] XE ZERO ELSE, 

可 以 在 此 重新 设置 对 应 的 程序 的 路 径 、 厂 本 等 信息 , 也 可 以 设置 图 像 的 输出 方式 (允许 FTP)、 
显示 效果 、 登 录 方 式 〈 人 允许 使 用 LDAP) 等 。 

(7) Utilities. 


System Utilities: 显示 Cacti 系统 的 一 些 cache 和 log 信息 ， 如 果 log 文件 太 大 ， 建 议 直 接 到 
EREA. 


User Management: HP EE. n UER WRH, HAEN ETA A ER « 
Logout User: 注销 用 户 。 


16.3.2 ”创建 监测 点 





假设 被 监测 的 服务 器 名 叫 “Test Host", IP 为 192.168.100.110, SNMP 的 community 为 public. 
切换 到 Cacti 的 console 选项 卡 ， 单 击 Devices 选项 ， 进 入 设备 选项 界面 ， 单 击 Add EEPZUS JST Ux 
备 ， 如 图 16-9 所 示 。 







console | g raphs | 






Console -> Devices Logged in as admin [Logout] 


Devices Add 


Mew Graphs go | 
Type: [any y |status: [any search: | 


<< Previous Showing Rows 1 to 1of1[1] Next >> 


Management 


Graph Management 














Graph Trees 























Data Sources 


Devices Description Status Hosmame RE dedu Availability ** E 
Collection Methods 








Localhost UP 127.0,.0,1 17.49 4,61 29,32% E 


Data Queries 


























Data Input Methods | ME Previous Showing Rows 1tolofl1[1l] Next >> 


16-9 ”设置 监测 点 


如 图 16-10 所 示 ， 填 写 要 监测 服务 器 的 各 种 信息 ， 其 中 Host Template 请 选择 Local Linux 
Machine 或 ucd/net SNMP Host (选择 一 个 合适 的 主机 模板 ) ， 单 击 Create 按钮 保存 信息 ， 如 果 
SNMP 连接 没有 问题 , 左上 角 会 出 现 该 服务 器 的 信息 , 如 图 16-11 所 示 , 否则 会 出 现 “SNMP error" 
的 红色 字样 。 
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graphs | 





Console -> Devices -> (Edit) 


Logged in as admin {Logout} 





Mew Graphs 


Management 
Graph Management 
Graph Trees 


Data Sources 


Device 






Collection Methods 


Data Queries 








Data Input Methods 


Temnplates 


Graph Templates 














Host Templates 
Data Templates 


Import, Export 


Import Templates 





Export Templates 






Utlites 
System Utilities 


Uzer Management 


Logout User 








— 
console 


Devices [new] 


Descrpton 
Give this host a meaningful description, 


[Test host 
[192. 168. 100. 110 


[Local Linux Machine -| 


O Dizable Host 


Hostname 
Fill in the fully qualified hostname for this device. 


Host Template 

Choose what type of host, host template this is. The 
host template will govern what kinds of data should be 
gathered from this type of host, 


Disable Host 
Check this box to disable all checks far this hast. 


SNMP Options 


SNMP Community 
Fill in the SHMP read community for this device. 


SNMP Usemame (v3) 
Fill in tha 5MMP v3 username far this device. 


SNMP Password (v3) 
Fill in the SNMP v3 password far this device, 


5ZHhP Wersion 
Choose the SMMP version far this hast. 


SNMP Port 
Enter the UDP port number to use for SHMP (default is 
161). 


SNMP Timeout 

The maximum number of milliseconds Cacti will wait 
for an SNMP response [does not work with php-snmp 
support]. 


[Version 1 -| 


161 


500 








16-10 ”添加 新 设备 


-a 
graphs 





Console -> Devices -> (Edit) 


Create 





New Graphs 


Management 
Graph Management 


Graph Trees 





Data Sources 





Devices 
Collection Methods 


Data Queries 
Data Input Methods 
Templates 





Graph Templates 
Host Templates 
Data Templates 
Import/ Export 
Import Templates 


Export Templates 


Configuration 


Settings 


System Utilities 
User Management 


Logout User 





Logged in as admin (Logout) 


Test host (192.168.100.110) 


SNMP Information 

System: linux mpzee 2.6.8-42.FIzmp #1 SEP Fed Jul 12 25:27:17 EDT 2006 i686 
Uptime: 171966 [0 days, 0 hours, 29 minutes) 

Hoztmnme: myste 

Llocntiom: Unlnown [edit /etc/znmp/znmpd. conf) 

Comtact: Foot rootBlocalhozt [configure fetc/znmp/znmp. local. conf) 


*Create Graphs for this Host 


Devices [edit: Test host] 


Description 
Give this host a meaningful description. 


[Test host 
[192. 168. 100. 110 


[Local Linux Machine -| 


Hostname 
Fill in the fully qualified hostname for this device. 


Host Template 

Choose what type of host, host template this is. The host 
template will govern what kinds of data should be gathered 
from this type of host. 


Disable Host 
Check this box to disable all checks for this host. 


SNMP Dptions 


SNMP Community 
Fill in the SNMP read community for this device, 


SNMP Username (v3) 
Fill in the SNMP v3 username for this device. 


SNMP Password (v3) 
Fill in the SNMP v3 password for this device. 


SNMP Version 
Choose the SNMP version for this host. 


万 Disable Host 





[sonode 
[Version 1 "| 


SNMP Port 161 
Enter the UDP port number to use for SNMP (default is 161). 

SNMP Timeout 

The maximum number of milliseconds Cacti will wait for an 500 


SNMP resnanse (does nnt work with nhn-snrnr siinnartl. 


16-11 SNMP 连接 成 功 


单 击 图 16-11 右上 角 的 “Create Graphs for this Host”， 为 该 设备 创建 需 监测 的 内 容 。 监 测 的 


内 容 分 两 种 : Graph Templates 和 Data Query， 区 别 在 于 Data Query 能 根据 SNMP 信息 列 出 监测 
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项 目的 信息 。 例 如 ，Data Query 中 的 Interface Statistics 可 以 看 到 该 主机 所 有 网 卡 的 信 


们 可 以 选择 需要 监测 的 网 卡 。 选 中 右 侧 的 复 选 框 ， 选 择 要 监测 的 项 目 ， 如 图 16-12 所 示 。 





New Graphs 





Graph Management 
Graph Trees 


Data Sources 





Collection Methods 


Data Queries 





Data Input Methods 


Templates | 





Graph Templates 
Host Templates 


Data Templates 





Import/Export 
Import Templates 


Export Templates 


Configuration 


Settings 








System Utilities 
User Management 


Logout User 
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Test host (192.168.100.110) 


Create new graphs for the following host: 


[Test host (192.168. 100. 110) -| 


*Edit this Host 
*Create New Host 


Graph Templates 


Graph Tenmnplate Namne 


Create: 


| [Select a graph type to create) z] 


Data Query [Unix - Get Mounted Partitions] 


Device Name 


Mount Point 


/dev/sdai 





16-12 ”为 设备 创建 需 监测 的 内 容 








Logged in as admin (Logout) 


Local Linux Machine 








单 击 Create 按钮 创建 选择 的 监测 内 容 。 已 经 选择 创建 的 内 容 会 目 动 变 成 灰色 并 且 不 能 再 进 
行 选 择 。Cacti 会 目 动 创建 该 监测 点 的 RRD 文件 (在 rra 文件 夹 中 ) ~ Data Source 和 graph 4& H 


如 图 16-13 所 示 。 








New Graphs 





Management 


Graph Management 
Graph Trees 

Data Sources 
Devices 


Collection Methods 


Data Queries 











Data Input Methods 





Graph Templates 
Host Templates 


Data Templates 





Import/Export 


Import Templates 





Export Templates 


Configuration 





Settings 
System Utilities 


User Management 


Logout User 


alda 








Logged in as admin (Logout) 


+ Created graph: Test host - Emrr Usage 

+ Created graph: Test host - Load Average 

+ Created graph: Test host - Logged in Uzerz 

+ Created graph: Test host - Procezzez 

+ Created praph: Test host - Disk Space - /dev/mapper/Vol 


Test host (192.168.100.110) 
Create new graphs for the following host: 


[Test host (192.168. 100. 110) -| 


*Edit this Host 
*Create New Host 


Graph Templates 
Graph Template Name 


Create: Linu - Memory Usage 


Create: Unix - Load Average 


Create 


[ [Select a rgraph type to create) -| 


Data Query [Unix - Get Mounted Partitions] 


Device Name Mount Point 


/devuf/sdai 





16-13 ”创建 监测 点 完毕 


16.3.3 ”查看 监测 点 


Local Linux Machine 


单 击 Graph. Management 选项 可 以 看 到 刚才 创建 的 监测 点 对 应 的 图 像 ， 如 图 16-14 所 示 。 注 


Eara 
Asi 


由 于 Cacti 默认 每 5 分 钟 到 监测 服务 右上 取 一 次 数据 ， 所 以 刚 创 建 的 监测 点 会 出 现 图像 不 





KE ME 
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示 的 现象 


— 
console 


， 需 要 等 儿 分 钟 答 看 才 会 正 负 显示 。 
graphs \ 


Console -> Graph Management 


Logged in as admin (Logout) 





Create 


New Graphs 


Management 


Graph Management 


--- CDEFs 
--- Colors 
--- GPRINT P 


resets 





Graph Trees 





Data Sources 





Devices 


Collection Methods 


Data Queries 





Data Input M 


ethods 


Templates 


Graph Templ 


ates 





Host Templates 





Data Templates 
Import/Export 
Import Templates 





Export Templates 


Configuration 


Settings 


System Utiliti 


es 





User Manage 


ment 





Logout User 





Graph Management 


Filter by host: 


<< Previous 

Graph Tite** 

Localhost - Advanced Ping 

Localhost - Advanced Ping 

Localhost - Advanced Ping 

Localhost - Apache Statistics - Bytes / Request 
Localhost - Apache Statistics - Hits / s 
Localhost - Apache Statistics - kBits / s 
Localhost - Apache Statistics - Thread Details 
Localhost - Apache Statistics - Thread Details (%0) 
Localhost - Apache Statistics - Thread Scoreboard 
Localhost - CPU Usage 

Localhost - Disk Space - /dev /mapper,/ Vol 
Localhost - Load Average 

Localhost - Load Average 

Localhost - Logged in Users 

Localhost - Memory Usage 

Localhost - Memory Usage 

Localhost - Ping Latency 

Localhost - Processes 


Localhost - TCP Connection Statistics (5 minutes) 


[Localhost (127.070. 1) "| 


Showing Rows 1 to 30 of 33 [1,2] 


Template Name 

PING - Advanced Ping v1.3 

PING - Advanced Ping v1.3 

PING - Advanced Ping v1.3 

WebServer - Apache Statistics - Bytes / Request 
WebServer - Apache Statistics - Hits / s 

WebServer - Apache Statistics - kBits / s 
WebServer - Apache Statistics - Thread Details 
WebServer - Apache Statistics - Thread Details (96) 
WebServer - Apache Statistics - Thread Scoreboard 
ucd/net - CPU Usage 

Unix - Available Disk Space 

Unix - Load Average 

ucd/net - Load Average 

Unix - Logged in Users 

Linux - Memory Usage 

ucd/net - Memory Usage 

Unix - Ping Latency 

Unix - Processes 


TCP MIB - Connection Statistics (conn 5min) 


16-14 ”查看 Graph Management 


120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 
120x500 









CHC ECHC ECHL ECCE ml ll lss ll ECC 


为 了 方便 查看 ， 可 以 将 刚才 新 创建 的 设备 或 图 像 加 入 到 图 像 树 上 ， 单 击 Graph Trees 选项 ， 
进入 图 像 树 选 项 界面 ， 如 图 16-15 所 示 。 


N 
console 


graphs Ù 





Console -> Graph Trees 


Logged in as admin (Logout) 





New Graphs 


Graph Management 





Graph Trees 





Data Sources 





Devices 


Graph Trees 


DELH 


16-15 








图 像 树 界 面 


单 击 分 文 名 称 或 Add 链接 添加 新 的 分 文 ， 如 图 16-16 所 示 。 


— 
console 


graphs \ 








Console -> Graph Trees -> (Edit) 





New Graphs 


Graph Management 








Graph Trees 





Data Sources 





Devices 


Graph Trees [new] 


Name 


A useful name for this graph tree, 


Sorting Type 
Choose how items in this tree will be sorted. 


Logged in as admin (Logout) 


[Test host 


[Manua] Ordering (No Sorting) -| 





| cancel || create | 
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单 击 Add 链接 ， 添 加 新 的 Tree Items， 然 后 在 Tree Item Type 选项 栏 中 选择 Host 选项 ， 在 
Tree Item Value 选项 的 Host. 下 拉 列 表 框 中 选择 刚才 新 添加 的 主机 “Test Host“， 并 单 击 Create 


按钮 ， 如 图 16-17 所 示 。 


— 
console 


Create 


New Graphs 


Management 
Graph Management 
Graph Trees 

Data Sources 
Devices 
Collection Methods 
Data Queries 

Data Input Methods 
Templates 


Graph Templates 





graphs 


Console -> Graph Trees -> (Edit) -> Graph Tree Items 


Logged in as admin (Logout) 


Tree Items 


Parent Item 
Choose the parent for this header/araph. 


| [root] -| 
[Host "| 


[Localhost (i2720: 0:1) -| 
[Graph Template "| 


Tree Item Type 
Choose what type of tree itern this is, 


Tree Item Value 


Host 

Choose a host here to add it to the tree. 

Graph Grouping Style 

Choose how graphs are grouped when drawn for this particular 
host on the tree, 








16-17 ”添加 Tree Items 


直接 在 ViewTree 中 添加 一 个 Host 节点 进行 监控 无 疑 是 一 个 简单 的 方法 , 但 随 着 监控 图 的 增 
多 ， 将 所 有 的 图 像 放 到 一 个 Host 节点 上 上 ， 当 查看 图 像 时 图 像 的 显示 速度 会 变 慢 ， 而 有 旦 监控 图 的 


条 理 也 不 清楚 ， 所 以 通常 可 以 根据 监控 图 监控 的 功能 和 监控 服务 的 类 型 等 进行 分 类 ， 














整理 出 一 标 





有 条 理 的 网 像 树 。 可 以 按 下 面 的 步骤 添加 节点 。 
C1) 如 图 16-18 所 示 , 首先 添加 一 个 root 3 zi; 在 Tree Item Type 选项 栏 中 选择 Header 选项 ， 


在 Title 文本 框 中 填写 一 个 合适 的 描述 性 信息 ， 如 本 例 填写 “Host Monitor" , Host Monitor T 


点 


INNY 


的 图 像 主 要 是 和 主机 性 能 相关 的 一 些 图 像 ， 如 CPU、 内存、 磁盘 空间 等 。 


— IT 
console graphs 


Console -> Graph Trees -> (Edit) -> Graph Tree Items 


Mew Graphs 

Graph Management 
Graph Trees 

Data Sources 
Devices 
Data Queries 

Data Input Methods 


Templates 





Graph Templates 
n | 


[Wd 


Logged in as admin (Logout) 


Tree Items 


Parent Item 
Choose the parent for this header/araph. 


Tree Item Type 
Choose what type of tree item this is. 


Tree Item Value 


Tide 
If this item is a header, enter a title here. 


[Host Monitor 
[Manual Ordering (No Sorting) -| 


Sorting Type 
Choose how children of this branch will be sorted, 








create 


16-18 添加 root 节点 


(25 单 击 刚 创建 的 root 和 点 〈Host Monitor) 后 面 的 Add 链接 来 添加 一 个 Graph, Anl 16-19 


所 示 。 
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Save Successful. 


Graph Trees [edit: Test hast] 


Name [Test rost 
A useful name for this graph tree, Test host 

Sorting Type [manual Ordering (No Sorting) v] 

Choose how items in this tree will be sorted, Manual Ordering (No Sorting) v 


Tree Items 


Host: Localhost (127.0.0.1) Host 
El Host Monitor (Add) Heading 





16-19 2j root 添加 Graph 
(3) 在 Tree Item Type 选项 栏 中 选择 Graph 选项 ， 在 Graph 下 拉 列 表 框 中 选择 想 要 加 入 的 监 





控 图 。 重 复 此 过 程 ， 加 入 所 有 你 想 加 入 的 监控 图 ， 如 图 16-20 所 示 。 


Tree Items 


Parent Item -— cH : 
| ost Monitor -| 
Choose the parent for this header graph. 


Tree Item Type [Gra h -| 
Choose what type of tree item this is. P 


Tree Item Yalue 


Graph [Localhost - CPU Usage | 
Choose a graph from this list to add it to the tree, Localhost CPU Usage Š 
Round Robin Archive - - 

Choose a round robin archive to control how this graph is [Daily (5 Minute Average! -| 


displayed, 





16-20 在 Graph 下 拉 列 表 框 中 选择 想 要 加 入 的 监控 图 
如 图 16-21 所 示 ， 显 示 添 加 成 功 。 


Save Successful. | 


Graph Trees [edit; Test hast] 


Mame Hesthost |. 
A useful name far this graph tres. Test host 

Sorting Type [manus] Ordering (No Serting) 7] 

Choose how items in this tree will be sorted. Manual Ordering (Wo Sorting) ™ 


Tree Items 











wE] 
Item 
Host: Localhost (127.0.0.1) Host 


El Host Monitor (Add) Heading 
Localhost - CPU Usage Graph 





16-21 添加 成 功 
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你 还 可 以 添加 Tree Items， 如 MySQL Monitor， 此 节点 用 来 监控 与 MySQL 服务 相关 的 信息 ， 
重复 上 面 的 过 程 ， 直 到 一 棵 有 层次 和 条 理 的 树 创建 完成 ， 如 图 16-22 所 示 。 


Tree Items Add 
Item LETT 
Host Monitor (Add) Heading F R x 
[ My SQL Monitor (Add) Heading F b x 
Localhost - teM SL - Load Average Graph F s x 
Localhost - teMy SaL - CPU Usage araph F b x 
Localhost - teMySQL - Network Usage Graph F 省 x 
Localhost - teMy SOL - Index Usage araph F b x 
Localhost - teMy SOL - Select Queries Graph F 者 x 
Localhost - teMuSGL - Select Handler Graph s x 
Localhost - teMy SaL - Query Cache Graph F 者 x 
Localhost - teMuSL - Locking and Slow Graph x 
Localhost - teMy SaL - Old Command Stats Graph F b x 
Localhost - teMuy SQL - Sorts Graph x 
Localhost - teMy SOL - Threads! Abends Graph o 者 x 
Localhost - teMuS aL - valatile Queries Graph s x 
El Advance Ping (Add) Heading F 者 x 
[ Monitor TCP 80 (Apache) (Add) Heading F b x 
Localhost - Advanced Ping Graph F h x 
El Monitor TCP 3306(MySQL) (Add) Heading F b x 
Localhost - Advanced Ping araph F 者 x 
El Monitor TCP 22(55H) (Add) Heading x 
Localhost - Advanced Ping araph F b x 
El Apache Monitor (Add) Heading F s x 
Localhost - Apache Statistics - Hits / s araph F b x 
Localhost - Apache Statistics - Bytes / Request Graph F s x 
Localhost - Apache Statistics - kBits / s araph F b x 
Localhost - Apache Statistics - Thread Details Graph o S x 
Localhost - Apache Statistics - Thread Details (3$) araph F 者 x 


16-22 ”创建 成 功 的 树 
这 样 ， 我 们 就 可 以 在 graphs 选项 卡 中 查看 Test Host 的 所 有 监测 图 像 了 ， 如 图 16-23 所 示 。 


" console || graphs \ 






Graphs -> Tree Mode 





[Test Host 





Hast Monitor 


^ MySQL Monitor 


[-- Advance Ping 


^Maniter TCP Sü(Apache) 
— Monitor TEP 3306(MySOQL) 


—Monitar TCP 22(55H) 


Apache Monitor 





16-23 1E graphs 选项 卡 中 查看 所 有 监测 图 像 
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16.34 为 已 有 Host 添加 新 的 监控 图 


在 console 控制 台 下 单 击 New Graphs 选项 ， 


选择 要 添加 监控 向 的 主机 。 在 Graph Templates 


中 选择 一 个 Graph 模板 ， 本 例 选 择 SNMP - Ceneric OID Template， 单 击 Create 按钮 ， 如 图 16-24 


所 示 。 


A üm. 
console graphs 


Console -> Create New Graphs 


Logged in as admin (Logout) 





Create Test host (192.168.100.110) 


New Graphs 


Management 


[Test host (192.168. 100. 110) -| 


Graph Templates 


Graph Management 





Graph Trees 





Data Sources 





Devices 


Collection Methods 
Data Queries 


Data Input Methods 


Templates 


Graph Templates 


Graph Template Name 


Create: Linux - Memory Usage 





Create: Unix - Load Average 


Create: Unix - Logged in Users 





Host Templates Create: Unix - Processes 





Data Templates 


Import/Export 


Import Templates 


Create: 





Export Templates Data Query [Unix 


Configuration 


Settings 


System Utilities 


Device Name 
/ d eu / mappe ri Wo | Grou P O0-Lo g Vo | 00 


/dev/sdai 





User Management 


Create new graphs for the following host: 


[suse - Generic DID Template "| 


- Get Mounted Partitions] 


Local Linux Machine 


*Edit this Host 
*Create New Host 


Mount Point 








Logout User 














16-24 选择 Host 


在 Title 文本 框 中 填写 Graph 的 名 字 ， 在 Vertical Lable 文本 框 中 填写 描述 信息 或 是 所 绘图 片 
使 用 的 单位 等 , 显示 在 所 绘图 片 的 左 侧 , 在 Name 文本 框 中 填写 此 数据 源 的 名 字 , 在 Legend Color 
下 拉 列 表 框 中 选择 画图 使 用 的 颜色 ， 在 Legend Text 文本 框 中 填写 图 例 的 名 字 ， 在 OID 文本 框 中 
填写 要 监控 主机 的 OID 信息 ， 单 击 Create 按钮 完成 Graph 的 创建 ， 如 图 16-25 所 示 。 








Create Graph from 'SNMP - Generic OID Template' 
Graph [Template: SNMP - Generic OID Template] 


Tide 
The name that is printed on the graph. 


Vertical Label 
The label vertically printed to the left of the graph. 


Graph Items [Ternplate: SMMP - Generic OID Template] 


Legend Color 
The color to use for the legend. 


Legend Text 
Text that will be displayed on the legend for this graph item. 


Data 5ource [Template: SHMP - Generic OID Template] 


Hame 
Choose a name for this data source, 


Maximum Value [znmp »id] 
The maximum value af data that is allowed to be collected. 


Data Source Type [s4nmp oid] 


How data is represented in the RRA. 
Custom Data [Template: SHMP - Generic GID Template] 


DID 


[[host_description] - Tcp Established 
[Established 


[onFFOn | 
[Est ablished 


[nost description] - Tep Established 


10d 


[GAUGE -| 
| 1.3.6.1.2.1.6.9.0 














16-25 ”填写 相关 信息 
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完成 后 监控 图 如 图 16-26 所 示 。 


Localhost - Tcp Established 





20 
O 
DE 
i= 
= 
'r 
= 18 
I 
m 
+ 
wi 
LLI 
ü 
10:00 12:00 14:00 16:00 18:00 28:800 22:800 00:00 (02:00 BM:00 06:00 08:0 
From 2007/08/26 09:48:00 To 2007/08/27 09:48:00 
lE] Established Current: 10,95 Average: 5.45 Maximum: 15.95 


图 16-26 ”监控 图 示意 
16.3.5 合并 多 个 数据 源 到 一 张 图 上 


在 console 控制 台 下 单 击 Graph Management 选项 ， 然 后 单 击 Add 链接 。 在 Selected Graph 
Template 下 拉 列 表 框 中 选择 None 选项 ， 在 Host 下 拉 列 表 框 中 选择 None 选项 ， 然 后 单 击 Create 
按钮 。 在 Title 文本 框 中 输入 Graph 的 名 字 ， 如 图 16-27 所 示 。 


Graph Template Selection [new] 

Selected Graph Template 

Choose a graph template to apply to this graph. Please [Hone -| 
nate that graph data may be lost if you change the graph 


template after one is already applied. 








Host [N | 
arne m 
Choose the host that this graph belongs to. 


Graph Configuration 


Tide [IP TEST 
The name that is printed on the graph. TCP TEST 





Image Format [Pre -| 

The type of graph that is generated: GIF or PHG., 

Height 120 

The height (in pixels] that the graph is. 

The width (in pixels] that the graph is. 

Auto 5cale 

Auto scale the y-axis instead of defining an upper and lower 区 

limit, Mate: if this is check bath the Upper and Lower limit will Auto Scale 

be ignared. 

Auto Scale Options (C 

Use --alt-autascale-max to scale to the maximum value, or -- Uze --alt-autoscale 

alt-autascale to scale to the absolute minimum and OE E E E 

maximum. 

Logarithmic Auto Scaling {--logarithmic) | | | 
Use Logarithmic y-axis scaling Logarithmic Auto Scaling (--lagarithrnic]) 
Rigid Boundaries Mode (--ngid) 

Do not expand the lower and upper limit if the graph contains [ Rigid Boundaries Mode (--rigid) 


a value outside the valid range. 


Auto Padding 

Pad text so that legend and graph data always line up. Hote: 

this could cause graphs to take longer to render because of [^ Auto Padding 
the larger overhead, Also Auto Padding may not be accurate 

on all types of graphs, consistant labeling usually helps. 


Allow Graph Export 
Choose whether this graph will be included in the static W Allow Graph Export 


htmalinana &wnnrt if unn nse radi's exynnit featiire. 


图 16-27 ”填写 相关 信息 
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' co nsole || raphs 了 





早 击 Add 链接 ， 添 加 Graph Items， 如 图 16-28 所 示 。 





Consale -> Graph Management -> (Edit) Logged in as admin (Logout) 
Save Successful. 
Mew Graphs 一 


Test Graph * Turn On Graph Debug Mode. 


Graph Management 











--- CDEFs Graph Template Selection [edit: Test Graph] 

-77 Colors Selected Graph Template 

--- GPRIHT Presets Choose a graph template to apply to 

EEC this graph. Please note that graph data [None -| 
Graph Trees may be lost if you change the graph 

Data Sources template after one is already applied. 


deine Hl UE [um — — — 1 
Choaze the host that this gra nne 下 
Collection Methods Ei 


belongs to, 
























Data Queries 
Data Input Methods Graph Items [edi Add 
Templates 



































Graph Item Data Source Graph Item Type Item Color 


Graph Templates No Items 


Host Templates 









































Data Templates 





Import, Export 








Temana Tarsnlztac 


16-28 添加 Graph Items 
深 加 多 个 数据 源 ， 将 所 选 的 多 个 数据 源 画 到 一 张 监控 图 上 ， 如 图 16-29 所 示 。 


Graph Items [edit graph: TCF TEST] 


Data Source = - = 
The data source to use for this Localhost - TCP MIB - Passive Üpen Connections itcp passiveopen) 
graph item. 


Color | -| 
The color to use for the legend. FFOOFF 


Graph Item Type 

How data for this item is [LINE] | 
represented visually on the 

graph. 

Consolidation Function 
How data for this item is [LAST | 
represented statistically on the 

graph. 


CDEF Function 
A CDEF (math) function to apply 
to this item an the graph. 


"T 
S 


Value 
The value of an HRLILE or VRLILE 
graph item. 


GPRIHT Type 

If this graph item is a SPRINT, 
you can optionally choose another 
format here, You can define 
additional types under "SPRINT 
Fresets", 


Text Format 
Text that will be displayed on the 
legend for this graph item, 


Insert Hard Return 
Forces the legend to the next line [| insert Hard Return 
after this item. 


Sequence 


16-29 ”添加 多 个 数据 源 
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完成 后 如 图 16-30 所 示 。 


TCP TEST 


300 m 


480 m 


300 m 





200 m 
100 m 


ü 
10:00 12:00 14:00 16:00 18:00 20:00 22:00 00:00 02:00 04:00 06:00 08:00 


From 70077/087/260 09:48:00 To 2007/08/27 09:48:00 


BH] PassiveÜpen 
BH Activeüpens 


图 16-30 设置 成 功 后 的 显示 
16.3.6 使 用 Cacti 插件 


Cacti 插件 是 对 Cacti 的 扩展 。 要 使 用 Cacti 插件 必须 完 扩展 Cacti 架构 ， 以 此 来 文 持 插 件 。 
ED 
1. 安装 Cacti 插件 架构 扩展 


下 载 地 址 : http://cactiusers.org/downloads/patches/。 然 后 执行 以 下 指令 。 

CIO 解压 下 载 的 tar 包 ， 你 会 得 到 一 个 cacti-plugin-arch 目录 : 

ea a e a a a 

v eel sie a Ue ee 

# ls 

[root8lib cacti-plugin-arch]4 ls 

Casti-plugim-0.8.G621.ddir ico-0.065.  LICHNSS 

Cacti-plugin-0.8.64.d3ff £files-0.86i1 Rcadme.Ext 

[rootQlib cacti-plugin-arch]4 [ 

(2) 有 两 种 方法 来 安装 Cacti 的 插件 架构 扩展 。 第 一 种 方法 是 使 用 patch X fF» patch LES 
了 原始 文件 与 修改 后 文件 的 不 同 之 处 ， 所 以 可 以 使 用 patch 文件 来 得 到 新 的 文件 。 第 二 种 方法 是 使 
用 pre-patched 文件 进行 直接 窗 产 ， 将 与 Cacti 相对 应 版 本 的 files-0.8.6* 目 录 下 的 文件 直接 复制 到 
Cacti 目录 下 进行 覆 兰 。 在 此 选择 使 用 patch 文件 进行 安溪 (这 也 是 官网 推荐 的 方法 ) 。 将 与 Cacti 
相应 版 本 的 cacti-pligin-0.8.6*.diff 文件 复制 到 Cacti 目录 下 ， 然 后 使 用 patch 命令 进行 安装 。 

ee O e ee oe oe ed 

// 备 份 cacti 目录 ， 以 备 插件 扩展 安装 失败 后 能 恢复 到 原状 态 

1 























rae re 
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quede aet 

/ / HG TER UA Pig S ETT TA 

# patch -p1 -N --dry-run < cacti-plugin-0.8.6j.diff 

//U. Ets m EG. TEHIUA Pig m ETT S 

# patch -pl -N < cacti-plugin-0.8.6j.diff 

(3) RRMA. BAAR Cacti 配置 文件 ， 看 Cacti 4H2S BIO fei e e f 08002 ni 
ARAB wis HRANE P E — 03 SUO ELOCTTE H Ko 

ope emclitdeeontoeopeevemcics deontegv ob 

1IJF Cacti BU EO T, SIDA P363 

Sconfig['url pabh'] e x" 

如 果 你 的 Cacti 能 够 在 浏览 器 中 使 用 以 下 方法 直接 访问 ， 则 不 用 修改 Cacti 配置 文件 。 


http://www.youdomain.com HV 




















| 

如 果 Cacti 在 浏览 器 中 使 用 以 下 方法 和 直接 访问 : 

http://www.youdomain.com/cacti 

8k http://cacti 2$ ip/cacti 

W) *Sconfig['url path'] = "/"" ; 必须 被 修改 为 “$config[rurl_ path'] = "/cacti/"" . 

以 上 需要 注意 前 后 的 “/” 不 能 丢 。 至 此 ，Cacti 插件 结构 的 扩展 完成 ， 现 在 可 以 下 载 并 安装 
你 需要 的 Cacti 插件 了 。 

2. Xt 


MFR JRZR. MERIRÁBORASHU. ERN UD WDR I Cacti 插件 结构 扩展 。 

(1) 下 载 插件 。 在 此 以 Monitor 插件 为 例 。Monitor 插件 下 载 地 址 : http://cactiusers.org// 
downloads 执行 命令 解压 下 载 的 tar 包 ， 解 压 后 你 会 得 到 一 个 monitor 目录 。 

# tar -zvcf monitor-0.7.tar.gz 

(2) 安装 Monitor。 只 需要 将 monitor 目录 拷贝 到 cacti/plugins/ H 3 F Bl nf s 如果 是 升级 安装 ， 
H 554 m) monitor 日 录 即 可 。 

(3) 激活 monitor 插件 。 修 改 Cacti 配置 文件 (Cacti 目录 下 的 include/config.php) 。 在 配置 
中 查找 “$plugins = array0;” 行 ， 在 此 行 下 面 加 入 : 


solie ias = ee 


























(4) "Hed gu TRAE RA F ALET E, ERR 
(5) 移 除 插件 时 只 要 修改 Cacti 配置 文件 ， 注 释 掉 与 插件 相关 的 行 即 可 。 
例如 : 


le monTton 


(6) 在 console 选项 卡 ， 单 击 左 侧 菜 单 中 的 Settings 链接 ， 在 右 侧 出 现 的 Web 选项 界面 中 切 
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换 到 Misc 选项 卡 来 配置 Monitor 插件 ， 如 图 16-31 所 示 。 
Misc. 


Cacti Settings ( Misc) 
Monitor 


Alarm Sound 


This is the sound file that will be played when a host is down. 


Refresh Interval 





This is the time in seconds before the page refreshes. (1 - 300) 300 

ib 
This iz how many icons to show per line. (1 - 20) 

Show Icon Legend 

Check this to show an icon legend on the Monitor display dl Show Icon Legend 


16-31 Misc 选项 卡 


以 下 所 看 到 的 是 Monitor MA P BrHRTI Us AS SAHL Down 挥 后 ， 相 应 机 
途 图 标 将 由 绿色 变 成 红色 ， 并 及 出 声 首 进行 报答 ， 如 图 16-32 所 示 。 


Eonsole graphs | ihreshid Monitor | woathermap | 


Console -> Monitoring 





settings Ì e 


Logged in as admin (Logout) 
Last Refresh : 4:02:46 pm 


Localhost 


Win2k3 


16-32 ”设置 插件 


473 


217 s 


他 山 之 石 : 发 现 企业 网 络 漏洞 


本 章 导读 

网 络 攻防 其 实 是 一 场 非常 激烈 的 “博弈 ”。 攻 防 双方 
总 是 在 和 不断 地 寻找 对 方 的 漏洞 ,发动 攻击 ， 再 发 现 对 方 漏 
洞 ， 再 次 发 动 攻击 的 过 程 中 。 而 网 络 安全 工作 者 最 可 贵 的 
一 点 应 该 是 需要 具备 “ 换 位 思考 ”的 能 力 。 所谓 换 位 思考 ， 
就 是 在 作 网 络 安全 防护 的 时 候 , 应 该 时 时 想到 对 方 会 如 何 
来 对 自己 的 网 络 进行 攻击 ， 会 采取 什么 样 的 技术 和 手段 ， 
而 自己 又 存在 什么 样 的 漏洞 和 弱点 被 对 方 利 用 2? 做 到 这 
一 品 ， 就 犹如 三 国 中 的 诸 韶 亮 ,， 做 到 用 兵 如 神 ,， 也 就 能 从 
容 地 应 对 网 络 攻击 了 。 

在 网 络 高 速 发 展 的 今天 , 目前 的 攻击 方 总 是 首先 会 通 
过 端口 扫描 和 漏洞 扫描 的 方法 来 获得 被 攻击 方 的 开放 服 
务 及 其 漏洞 信息 ， 再 通过 黑客 工具 来 发 动 后 续 攻 击 。 那 么 
只 要 我 们 500 强 企 业 能 够 先 于 攻击 者 对 企业 网 络 的 漏洞 
进行 扫描 ,提前 做 好 加 固 和 和 防范 工作 , 也 就 能 够 做 好 网 络 
安全 防护 的 第 一 项 工作 。 因 此 ， 本 章 将 介绍 如 何在 Linux 
系统 下 通过 端口 和 漏洞 打 描 来 发 现 企业 网 络 漏洞 , 从 而 给 
安全 工作 者 提供 相应 的 素材 , 以 针对 具体 信息 采取 相应 的 
措施 来 对 该 漏洞 进行 修补 等 。 
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他 山 之 石 : 发 现 企业 网 络 漏洞 


发 现 企 业 网 络 漏洞 的 大 致 思路 


17.1.1 基本 思 


随 看 Internet 的 不 断 发 展 ， 信 息 技术 已 成 为 促进 经 济 发 展 、 社 会 进步 的 巨大 推动 力 :， 当今 社 
会 局 度 的 计算 机 化 信息 资源 对 任何 人 无 论 在 任何 时 候 、 任 何 地 方 都 变 得 极 有 价值 。 不 管 是 存储 在 
工作 站 中 、 服 务 右 里 还 是 流通 于 Internet 上 的 信息 都 已 转变 成 为 一 个 关系 事业 成 败 关 键 的 宁 略 点 ， 
这 束 使 你 证 信息 的 安全 变 得 格外 重要 。 

安全 扫描 技术 是 一 类 重要 的 网 络 安全 技术 。 安 全 扫描 技术 与 防火 场 \, 入 侵 检 测 系统 互相 配合 ， 
能 够 有 效 捉 高 网 络 的 安全 性 。 通 过 对 网 络 的 扫描 ， 网 络 管理 员 可 以 了 解 网 络 的 安全 配置 和 运行 的 
应 用 服务 ， 及 时 发 现 安 全 漏 铀 ,客观 评估 网络 风险 等 级 。 网 络 管 理 员 可 以 根据 扫 拉 的 结果 更 正 网 
络 安全 漏洞 和 系统 中 的 错误 配置 , 在 黑客 攻击 前 进行 防范 。 如 末次 防火 场 和 网 络 监控 系统 是 科 动 
的 防御 手段 ， 那 么 安全 扫 摘 吏 是 一 种 主动 的 防范 措施 ， 可 以 有 效 地 避免 墨客 地 攻击 行为 ， 做 到 防 
BOT. 

安全 扫描 技术 主要 分 为 两 类 : 主机 安全 扫描 技术 和 网 络 安全 扫描 技术 。 网络 安 全 扫描 技术 主 
要 针对 系统 中 不 合适 的 设置 脆弱 的 口令 ， 以 及 针对 其 他 同安 全 规则 抵触 的 对 象 进行 检查 等 ; 而 主 
机 安全 扫描 技术 则 是 通过 执行 一 些 脚本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 系统 的 反应 , 从 而 
发 现 其 中 的 源 洞 。 

由 于 公司 网 络 使 用 已 经 非常 普 裔 ， 能 够 通过 网 络 进 行 扫 搬 是 最 简单 不 过 了 ， 婚 安全 叉 方 便 ， 
且 网 络 扫描 的 技术 和 工具 都 已 经 非 党 成 熟 ， 因 此 决定 采用 网 络 安全 扫描 。 


17.1.2 采用 网 络 安全 扫描 


网 络 安全 扫描 技术 是 一 种 基于 Internet 远程 检测 目标 网 络 或 本 地 主机 安全 性 脆弱 点 的 技术 。 
通过 网 络 安全 扫 指 ， 系 统管 理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCP/IP 靖 口 的 分 配 、 开 放 
的 服务 、Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Internet 上 的 安全 漏洞 。 网 络 安全 扫描 技术 
也 是 采用 积极 的 、 非 破坏 性 的 办 法 来 检验 系统 是 否 有 可 能 被 攻击 月 江 。 它 利用 了 一 系列 的 脚本 柑 
拟 对 系统 进行 攻击 的 行为 ,并 对 结果 进行 分 析 。 这 种 技术 通常 被 用 来 进行 模拟 攻击 实验 和 安全 审 
计 。 网 络 安全 扫 摘 技术 与 防火 场 、 安 全 监控 系统 互相 配合 残 能 够 为 网 络 提 供 很 高 的 安全 性 。 

一 次 完整 的 网 络 安 全 扫 搞 分 为 以 下 三 个 阶段 。 

CD 发 现 目 标 主 机 或 网 络 。 

(2) 发 现 目标 后 进一步 搜集 目标 信息 ， 包 括 操作 系统 类 型 、 运 行 的 服务 以 及 服务 软件 的 版 本 
。 如 果 目 标 是 一 个 网 络 ， 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 、 路 由 设备 以 及 各 主机 的 信息 。 

(3) 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存 在 安全 漏洞 。 

网 络 安 全 扫 摘 技术 包括 PING 扫射 (Ping sweep) 、 操 作 系 统 探测 (Operating system 
identification) 、 如 何 探测 访问 控制 规则 Cfirewalking) ~ m HJI (Port scan) 以 及 漏洞 扫 擂 
(vulnerability scan) 等 。 这 些 技术 在 网 络 安全 扫 拉 的 三 个 阶段 中 各 有 体现 。PING 扫射 用 于 网 络 
安全 扫描 的 第 1 阶段 ， 可 以 帮助 我 们 识别 系统 是 人 否 处 于 活动 状态 。 操 作 系 统 探测 、 如 何 探 测 访问 
控制 规则 和 交口 扫 拉 用 于 网 络 安全 扫 摘 的 第 2 阶段 , 其 中 操作 系统 探测 顾名思义 就 是 对 目标 主机 
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运行 的 操作 系统 进行 识别 ; 如 何 探 测 访 问 控 制 规则 用 于 获取 被 防火 墙 保护 的 远 病 网 络 的 资料 ; 而 
闹 口 扫 揪 古 通 过 与 目标 系统 的 TCP/P 端口 连接 ， 并 和 奉 看 该 系统 处 于 监听 或 运行 状态 的 服务 。 网 
络 安全 扫描 第 3 阶段 采用 的 漏洞 扫描 通 癌 是 在 痛 口 扫描 的 基础 上 ， 对 得 到 的 信息 进行 相关 处 理 ， 
进而 检测 出 目标 系统 存在 的 安全 漏 调 。 

冰 口 扫描 技术 和 漏 洞 扫描 撤 术 是 网 络 安 全 扫描 技术 中 的 两 种 核心 技术 , 并 且 广 泛 运用 于 当前 
较 成 熟 的 网 络 扫描 器 中 ,如 著名 的 Nmap 和 Nessus。 鉴 于 这 两 种 技术 在 网 络 安全 扫描 技术 中 起 着 
举足轻重 的 作用 ， 下 面 对 这 两 种 技术 进行 了 非 营 系统 和 完整 的 学 习 、 总 结 和 研究 。 


端口 扫描 


17.2.1 ” 问 口 扫描 技术 的 基本 原理 


对 于 位 于 网 络 中 的 计算 机 系统 来 说 ， 一 个 端口 驶 是 一 个 潜在 的 通信 通道 , 也 就 是 一 个 入 侵 通 
道 。 对 目标 计算 机 进行 端口 扫描 ， 能 得 到 许多 有 用 的 信息 ， 从 而 发 现 系 统 的 安全 漏洞 。 通 过 其 可 
以 使 系统 用 户 了 解 系 统 目前 问 外 界 提 供 了 哪些 服务 , 从 而 为 系统 用 户 管理 网 络 提供 了 一 种 参考 的 
手段 。 

从 技术 原理 上 来 说 ， 端 口 扫 描 向 目标 主机 的 TCP/UDP 服务 端口 发 送 探测 数据 包 ， 并 记录 目 
标 主 机 的 啊 应 。 通 过 分 析 啊 应 来 判断 服务 问 口 是 打开 还 是 关闭 ， 怠 可 以 得 知 端口 提供 的 服务 或 信 
县 。 妆 口 扫 描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 、 流 出 IP 数据 包 来 监视 本 地 主机 的 运行 
情况 ， 不仅 能 对 接收 到 的 数据 进行 分 析 ， 而 且 能 够 帮助 用 户 发 现 目标 主机 的 某 些 内 在 的 弱点 ， 而 
不 会 提供 进入 一 个 系统 的 详细 步 又。 一般 来 说 ， 端 口 扫 摘 的 目的 通 利 是 以 下 的 一 项 或 者 多 项 。 

a KMF HONO: 发 现 目标 系统 上 开放 的 TCP 或 UDP ži hH 

a 了解 主机 操作 系统 信息 : 端口 扫描 可 以 通过 操作 系统 的 “指纹 ”来 推测 被 扫描 操作 系 

统 或 者 应 用 程序 的 版 本 等 信息 。 
" 了解 软件 或 者 服务 版 本 : 软件 或 服务 版 本 可 以 通过 标志 获取 或 者 应 用 程序 的 指纹 来 识 
ARTS e 

a ” 友 现 脆弱 的 软件 版 本 : 识别 软件 和 服务 的 缺陷 ， 从 而 有 助 于 发 起 针对 漏洞 的 攻击 。 

问 口 扫描 主要 有 经 典 的 (全 连接 ) 扫描 器 以 及 所 谓 的 SYN CEER) 扫描 器 ， 此 外 还 有 间 
接 扫描 和 秘密 扫描 等 。TCP 扫描 方式 是 通过 与 被 扫描 主机 建立 标准 的 TCP 连接 ， 因 此 这 种 方式 
最 准确 ， 很 少 漏 报 、 误 报 ， 但 是 容易 被 目标 主机 察觉 、 记 录 。SYN 方式 是 通过 与 目标 主机 建立 
半 打 开 连 接 ， 这 样 就 不 容易 被 目标 主机 记录 ， 但 是 扫描 结果 会 出 现 漏 报 ,在 网 络 状 况 不 好 的 情况 
下 这 种 漏 报 是 严重 的 。 


17.2.2. ” 痕 口 扫描 技术 的 主要 种 类 
















































































1. TCP € XE 


全 连接 扫 摘 是 TCP 端口 扫描 的 基础 ， 现 有 的 全 连接 扫描 有 TCP connectO 扫 描 和 TCP 反问 
ident 扫描 等 。 
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其 中 TCP connectO 扫 描 的 实现 原理 如 下 : 扫描 主机 通过 TCP/IP 协议 的 三 次 握手 与 目标 主机 
的 指定 痕 口 建立 一 次 完整 的 连 搁 。 连 接 由 系统 调用 connect 开始 。 如 宋 问 口 开 放 ， 则 连接 将 建立 
成 功 ; 否则 ， 知 返回 -1， 则 表示 端口 关 财 。 如 宋 建 立 连接 成 功 ， 则 啊 应 扫描 主机 的 SYN/ACK 连 
接 请 求 ， 这 一 啊 应 表明 目标 病 口 处 于 监听 (打开 的 状态 。 如 果 目 标 端口 处 于 关闭 状态 ， 则 目标 
EILS HAHH EHLE RST 的 啊 应 。 

而 反问 ident 扫 插 协议 允许 看 到 通过 TCP 连接 的 任何 进程 鸭 拥有 者 的 用 户 名 , 即使 这 个 连接 
的 不 是 由 这 个 进程 开始 的 。 比 如 ， 连 接 到 http mO, aH identd 来 发 现 服务 占 是 否 正 在 以 root 
人 权限 运行 。 这 种 方法 的 明显 缺点 是 上 只 能 在 和 目标 器 口 建立 了 一 个 完整 的 TCP 连接 后 才能 看 到 。 

2. TCP 半 连 接 (SYN) 扫描 


右 站 口 扫 朱 没 有 完成 一 个 完整 的 TCP 连接 ， 在 扫 揪 主机 和 目标 主机 的 一 指定 闹 口 建立 连接 
的 时 候 只 完成 了 前 两 次 握手 , 在 第 三 步 时 , 扫描 主机 中 断 了 本 次 连接 , 使 连接 没有 完全 建立 起 来 ， 
XFER m HL TRO EXE BH TI, UO WRA. 现 有 的 半 连 接 扫 揪 有 TCP SYN 扫描 和 IP ID 
头 dumb 扫 拓 等 。 

SYN 扫 朱 的 优点 在 于 即使 日 志 中 对 扫 朱 有 所 记录 ， 但 是 尝试 进行 连接 的 记录 也 要 比 全 扫描 
少 得 多 。 缺 点 是 在 大 部 分 操作 系统 下 ， 发 大 主机 需要 构造 适用 于 这 种 扫描 的 卫 包 ， 通关 情况 下 ， 
构造 SYN 数据 包 需 要 超级 用 户 或 者 授权 用 户 访问 专门 的 系统 调用 。 

3. UDP H} 


UDP 扫描 中 不 使 用 工具 来 设 定 特定 的 状态 标志 。 如 果 源 UDP WH CHI ICMP 端口 不 可 
达 消 息 ) 说 明 端 口 已 经 “关闭 ”，UDP 扫描 的 过 程 比 较 长 ， 速 度 比较 慢 。 

4. 标志 获取 扫描 

标 意 获取 扫描 是 指 连 接 到 系统 的 特定 问 口 ,检查 监听 该 端口 的 应 用 软件 标志 的 过 程 。 它 可 以 
利用 TCP 端口 连接 来 获得 特定 系统 上 运行 的 软件 和 程序 版 本 信息 。 在 实际 的 应 用 过 程 中 ， 系 统 
管理 员 可 能 会 更 改 或 者 删除 相关 标志 ， 从 而 隐藏 被 监听 的 应 用 程序 。 

5. 包 分 片 

许多 端口 扫描 项 都 文 持 包 分 片 功能 。 这 个 功能 有 助 于 包 罕 透 包 过 小 设备 并 逃避 入 侵 检 测 系统 
的 监测 。 包 分 搬 撤 术 将 TCP 或 者 UDP 包头 分 成 多 个 包 ， 增 加 访问 控制 设备 检测 六 口 扫 摘 信 息 的 
难度 。 当 前 大 多 数 防 火场 和 IDS 实现 都 能 够 在 评估 原始 IP 包 前 先 对 其 进行 重组 ， 这 样 可 以 阻挡 
包 分 片 的 企图 。 但 一 些 旧 的 防火 墙 和 IDS 设备 缺乏 这 种 功能 。 

6. Emil 

Nmap 和 其 他 一 些 新 口 扫 挡 工 具 都 有 “期 骗 ” 功 能 ， 能 够 在 直接 扫 朱 的 同时 进行 一 个 或 者 多 
个 欺骗 性 的 扫 摘 。 由 于 这 种 欺骗 性 通 第 手 闸 了 真实 源 地 址 ， 并 与 真实 的 扫描 同时 进行 ， 所 以 目标 
系统 妃 踩 扫 摘 来 源 的 难度 大 大 增加 。 

7. 标识 扫描 

标识 扫 摘 能够 用 来 识别 与 特定 TCP 连接 绑 定 的 用 户 账 户 ， 它 可 以 通过 与 113 TCP t HHE 
行 通 信 来 完成 ， 该 端口 会 返回 该 连接 所 有 者 的 身份 信息 。 这 种 扫描 仅仅 对 于 运行 ident 服务 的 系 
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统 有 效 ， 也 可 以 用 于 识别 使 用 特权 账号 《例如 root) 的 服务 。 
8. FTP 反弹 扫描 


FTP 反弹 扫描 利用 FTP 服务 器 进行 欺骗 扫描 ， 它 利用 的 是 FTP 协议 对 代理 FTP 连接 的 支持 
这 一 特性 。 利 用 FTP 服务 器 作为 反弹 “代理 ”， 黑 客 能 够 隐藏 源 扫 描 器 的 原始 地 址 。 


9. Jimo {aj 

im HOA LRP B Rs L1 3-1318 A6 VT 3-36 GC KAI TCP 或 者 UDP 源 扫 质问 口 , 以 避 开 包 
过 渡 访 问 控 制 设备 。 用 于 扫 揪 的 源 咽 口 通 沼 与 第 用 服务 的 端口 相关 联 ( 比 如 HTTP、DNS、SMTP、 
FTP 等 ) ， 这 坚 交 口 经 种 处 于 访问 控制 设备 的 许可 范围 乙 内 。 

10. 主机 扫描 


主机 扫 摘 的 目的 是 确定 在 目标 网 络 上 的 主机 是 否 可 达 。 这 是 信息 收集 的 初级 阶段 ， 其 效 末 和 直 
接 影 响 到 后 续 的 扫描 。 它 主要 包括 以 下 几 类 。 

= ICMP Echo 扫描 。 

= ICMP Sweep 扫描 。 

= Broadcast ICMP 扫描 。 

= — Non-Echo ICMP 1415. 

1) ICMP Echo 和 ICMP Sweep 扫描 

Ping 的 实现 机 制 , 判断 在 一 个 网 络 上 主机 是 个 开机 时 非常 有 用 。 回 目 标 主机 发 送 ICMP Echo 
Request (type 8) 数据 包 ， 等 竺 回复 的 ICMP Echo Reply (type 0) 数据 包 。 如 果 能 收 到 ， 则 表 
明 目 标 系统 可 达 ， 否则 表明 目标 系统 不 可 达 或 发 送 的 包 被 对 方 的 设备 过 滤 邱 。 访 机 制 的 优点 是 简 
A, RRL: 缺点 是 很 容易 被 防火 才 限 制 。 在 实际 使 用 过 程 中 ， 可 以 通过 并 行 发 送 ， 同 时 探测 
多 个 目标 主机 ， 以 提高 探测 效率 〈ICMP Sweep 扫描 ) 。 

2) Broadcast ICMP 扫描 

i-i p Le ICMP 请 求 包 的 目标 地 址 设 为 广播 地 址 或 网 络 地 址 , 则 可 以 探测 三 播 域 或 整个 
网 络 范 围 内 的 主机 。 该 机 制 明 显 的 缺点 是 只 适合 于 UNIX/Linux 系统 ，Windows 操作 系统 会 忽略 
这 种 请 求 包 。 并 且 ， 这 种 扫 摘 方式 容易 引起 广播 风 坎 ， 从 而 占用 大 量 的 网 络 资源 。 

3) Non-Echo ICMP 扫描 

该 扫描 机 制 指 的 是 除 上 述 3 种 之 外 的 一 些 其 他 ICMP 类 型 包 , 它们 也 可 以 用 于 对 主机 或 网 络 
设备 的 探测 ， 例 如 : 

= Stamp Request (Type 13) 

a Reply (Type 14) 

= Information Request (Type 15) 

a Reply (Type 16) 

= Address Mask Request (Type 17) 

a Reply (Type 18) 


11. 操作 系统 “指纹 ” 扫 摘 
根据 各 个 操作 系统 在 TCP/P 协议 栈 实 现 上 的 不 同 特 点 ， 采 用 黑 盒 测试 方法 ， 通 过 研究 其 对 
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各 种 探测 的 响应 形成 识别 指纹 〈footprint) ， 进 而 识别 目标 主机 运行 的 操作 系统 。 根 据 采集 指纹 
言 恩 的 方式 ， 又 可 以 分 为 被 动 扫 描 和 主动 扫 摘 两 种 方式 。 
1) 被 动 扫 措 
通过 抓 包 程序 (TCPDUMP、Sniffer、Wireshark 等 ) 收集 数据 包 , 再 对 数据 包 的 不 同 特征 CTCP 
Window Size, IP TTL. IP TOS. DF 位 等 参数 ) 进行 分 析 ， 来 识别 操作 系统 。 被 动 扫描 基本 不 具 
备 攻 击 特征 ， 其 有 很 好 的 隐 杉 性， 但 其 实现 严格 依赖 扫描 主机 所 处 的 网 络 拓扑 结构 :和 主动 探测 
相 比 较 ， 具 有 速度 慢 、 可 靠 性 不 高 等 缺点 。 
2) 主动 扫描 
采用 癌 目 标 系 统 发 送 构造 的 特殊 包 并 监控 其 应 答 的 方式 来 识别 操作 系统 类 型 。 主 动 扫 朱 具有 
速度 快 、 可 靠 性 高 等 优点 ， 但 同样 严重 依赖 于 目标 系统 网 络 拓扑 结构 和 过 小 规则 。 
主动 扫描 主要 包括 以 下 几 种 技术 。 
a FIN 探测 : 发送 一 个 FIN 包 给 一 个 打开 的 问 口 ， 一 般 的 行为 是 不 啊 应 。 
« BOGUS 标记 探测 : 设置 一 个 未 定义 的 TCP“ 标 记 ” (64 或 128) YE SYN 包 的 TCP 头 
里 。Linux 系统 到 内 核 2.0.35 版 本 之 前 在 回应 中 保持 该 标记 。 
=  TCP ISN 取样 : 其 原理 是 通过 在 操作 系统 对 连接 请 求 的 回应 中 寻找 TCP 连接 初始 化 序 
列 号 的 特征 。 
as JEN: 许多 操作 系统 开始 在 送出 的 一 些 包 中 设置 卫 H “Don't Fragment” (ME) 位 。 
a ”TCP 初始 化 窗口 : 检查 返回 包 的 窗口 大 小 。 如 Queso 和 Nmap 保持 对 窗口 的 精确 跟踪 ， 
因为 它 对 于 特定 OS 基本 是 常数 。 
a — ACK 值 :不同 实现 中 一 些 情况 下 ACK 域 的 值 是 不 同 的 。 如 果 发 送 了 一 个 FINIPSHIURG 
到 一 个 关闭 的 TCP 端口 。 大 多 数 实现 会 设置 ACK 为 发 送 的 初始 序列 数 ， 而 Windows 
会 回 送 序列 数 加 1。 
» ICMP 错误 信息 终结 : 一 些 操 作 系 统 跟 从 限制 各 种 错误 信息 的 发 送 率 。 例 如 ，Linux 内 
核 限制 目的 不 可 达 消 息 的 生成 每 4 秒 钟 80 个 。 测 试 的 一 种 办 法 是 发 一 串 包 到 一 些 随机 
的 高 UDP 端口 并 计数 收 到 的 不 可 达 消 县 。 
a  ICMP IH 5I HI: ICMP 错误 消息 可 以 引用 一 部 分 引起 错误 的 源 消 县 。 对 一 个 端口 不 可 
达 消 息 ， 几 乎 所 有 实现 只 送 回 IP 请 求 头 外 加 8 个 字 节 。 然 而 ，S$olaris 送 回 的 稍 多 ， 而 
Linux 更 多 。 
a SYN 洪水 限度 : 如 果 收 到 过 多 的 伪造 SYN 数据 包 , 一 些 操作 系统 会 停止 新 的 连接 尝试 。 
许多 操作 系统 只 能 处 理 8 个 包 。 


17.2.3 ”快速 安装 Nmap 
























































1. Nmap 简介 


Nmap 是 一 个 网 络 探测 和 安全 扫 拉 程序， 系统 管理 者 和 个 人 可 以 使 用 该 软件 扫 朱 大 型 的 网 
络 ， 获 取 哪 台 主 机 正在 运行 以 及 提供 什么 服务 等 信息 。Nmap 文 持 很 多 扫描 技术 ， 例 如 : UDP, 
TCP connect(), TCP SYN 〈 半 开 扫 描 ) ~ ftp 代理 (bounce 攻击) 、 反 向 标志 、ICMP、FIN、ACK 
Hi AWER) (Xmas Tree) 、SYN 扫描 和 null 扫描 。 从 扫描 次 型 小 节 中 可 以 得 到 细节 。Nmap 
还 提供 了 一 些 高 级 的 特征 ， 例 如 : 通过 TCP/IP 协议 栈 特征 探测 操作 系统 类 型 ， 秘 密 扫 朱 ， 动 态 
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延 时 和 和 草 传 计算 ， 并 行 扫 描 ， 通 过 并 行 ping 扫 插 探测 关闭 的 主机 ， 诱 钮 扫描 ， 避 开端 口 过 滤 检 
测 ， 和 直接 RPC 扫 拉 《无须 端 口 了 映射 ) WEE TT. UARA B RS D E. 
为 了 提高 Nmap 在 non-root 状态 下 的 性 能 ， 软 件 的 设计 者 付出 了 很 大 的 努力 。 很 不 于 ,一些 
内 核 界 面 〈 例 如 raw socket) 需要 在 root 状态 下 使 用 。 所 以 应 该 尽 可 能 在 root 状态 下 使 用 Nmap。 
Nmap 运行 通 稼 会 得 到 被 扫描 主机 端口 的 列表 .Nmap 总 会 给 出 well known 端口 的 服务 名 (如 
果 可 能 ) 、 交 口号、 状态 和 协议 等 信息 。 每 个 端口 的 状态 有 : open. filtered. unfiltered. 


























» — open 状态 意味 看 目标 主机 能 够 在 这 个 端口 使 用 acceptO 系 统 调用 接收 连接 。 
= filtered 状态 雪 示 防火 场 、 包 过 滤 和 其 他 的 网 络 安 全 软件 拖 种 了 这 个 端口 ， 茶 止 Nmap 
探测 其 是 硅 打 开 。 


a ”unfiltered 表示 这 个 关口 和 天 团 ， 并 且 没 有 防火 场 / 包 过 滤 软 件 来 隔离 Nmap 的 探测 企图 。 
通常 情况 下 ， 端 口 的 状态 基本 都 是 unfiltered 状态 ， 只 有 在 大 多 数 被 扫描 的 端口 处 于 
filtered 状态 下 ， 才 会 显示 处 于 unfiltered 状态 的 交口 。 
根据 使 用 的 功能 选项 , Nmap 也 可 以 报告 远程 主机 的 下 列 特征 : 使 用 的 操作 系统 、TCP 序列 、 
运行 绑 定 到 每 个 端口 上 的 应 用 程序 的 用 户 名 、DNS 名 、 主 机 地 址 是 否 是 欺骗 地 址 ， 以 及 其 他 一 
些 东 西 。 

2. 快速 安装 Nmap 

在 使 用 之 前 ， 我 们 需要 下 载 Nmap 软件 的 源码 包 进 行 安 装 。 目 前 ， 笔 者 下 载 到 的 最 独 版 本 
为 : nmap-5.00.tgz, 下 载 网 址 为 : http://linux.softpedia.com/get/System/Networking/Nmap-184.shtml。 
下 载 完 成 后 ， 用 户 执 行 以 下 安装 命令 即 可 。 

(1) 解压 乡 软 件 包 : 

让 本 

(2) 切换 到 和 安 疙 目录 : 

Kcd nmap-5.00 

(3) 使 用 configure 命令 生成 make 文件 : 

#./configure 

(4) 编译 源 代码 : 

#make 

(5) 安装 相关 模块 : 


emake install 


17.2.4 使 用 Nmap 确定 开放 端口 


功能 选项 可 以 组 合 使 用 。 一 些 功能 选项 只 能 够 在 某 种 扫描 模式 下 使 用 。Nmap 会 自动 识别 无 
效 或 者 不 支持 的 功能 选项 组 合 ， 并 向 用 户 发 出 警告 信息 。 使 用 Nmap， 可 以 参考 使 用 以 下 一 些 党 
用 的 选项 。 
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1) -sT 

TCP connectO 扫 摘 : 这 是 最 基本 的 TCP 扫 摘 方式 。connectO 是 一 种 系统 调用 ， 由 操作 系统 提 
供 ， 用 来 打开 一 个 连接 。 如 采 目 标 端口 有 程序 监听 ，connectO 就 会 成 功 返 回 ， 否 则 这 个 端口 是 不 
可 达 的 。 这 项 技术 最 大 的 优点 是 ， 用 户 不 需要 root 权限 ， 任 何 Linux 用 户 都 可 以 目 由 地 使 用 这 个 
系统 调用 。 这 种 扫描 很 容易 被 检测 到 , 在 目标 主机 的 日 志 中 会 记录 大 批 的 连接 请 求 以 及 错误 信息 。 

2) -sS 

TCP 同步 扫描 《TCP SYN) : 因为 不 必 全 部 打开 一 个 TCP 连接 ， 所 以 这 项 技术 通常 称 为 半 
开 扫描 Chalf-open) 。 用 户 可 以 发 出 一 个 TCP 同步 包 (SYN)〉， 然 后 等 待 回 应 。 如 果 对 方 返 回 
SYN|ACK CHEN) AMEZ H prm OEKD; WRR] RST 数据 包 ， 则 表示 目标 奖 口 没有 监 
昕 程序 ， 如 果 收 到 一 个 SYN|IACK 包 ， 源 主机 残 会 马上 发 出 一 个 RST《〈 复 位 ) 数据 包 断 开 和 有 目标 
主机 的 连接 ， 这 实际 上 是 由 我 们 的 操作 系统 内 核 目 动 完 成 的 。 这 项 技术 最 大 的 好 处 是 ， 很 少 有 系 
统 能 够 把 它 记 入 系统 日 六 。 不 过 ， 用 户 需要 root 权限 来 定制 SYN 数据 包 。 

3) -SF -SX -SN 

秘密 FIN 数据 包 扫 摘 、 圣 诞 树 CXmas Tree) 、 空 Nul 扫描 模式 : 即使 SYN 扫 摘 都 无 法 确 
定 的 情况 下 使 用 。 一 些 防火 播 和 包 过 滤 软 件 能 够 对 发 送 到 被 限制 器 口 的 SYN. 数据 包 进 行 监视 ， 而 
且 有 些 程序 比如 synlogger 和 courtney 能 够 检测 那些 扫描 。 这些 高 级 的 扫 摘 方式 可 以 逃 过 这 些 干 扰 。 
这 些 扫描 方式 的 理论 依据 是 : 天 财 的 端口 需要 对 用 户 的 探测 包 回 应 RST 包 ， 而 打开 的 端口 必须 急 
略 有 问题 的 包 。FIN 扫 摘 使 用 骏 露 的 FIN 数据 包 来 探测 ， 而 圣诞 树 扫 朱 打 开 数 据 包 的 FIN、URG 
和 了 PUSH 标 意 。 不 科 的 是 ， 微 软 决 定 完全 忽略 这 个 标准 ， 另 起 炉灶 。 所 以 这 种 扫描 方式 对 Windows 
95/NT 无 效 。 不 过 ， 从 另外 的 角度 讲 ， 可 以 使 用 这 种 方式 来 分 辩 肉 种 不 同 的 平台 。 如 末 使 用 这 种 扫 
描 方式 可 以 友 现 打开 的 奖 口 ， 用 刀 残 可 以 确定 目标 主机 运行 的 不 是 Windows 系统 。 如 采 使 用 -SF、 
-SX 或 者 -SN 扫描 显示 所 有 的 端口 都 是 关闭 的 , 而 使 用 SYN 扫 摘 显示 有 打开 的 交口 , 用户 可 以 确定 
目标 主机 运行 可 能 的 是 Windows 系统 。 现 在 这 种 方式 没有 什么 太 大 的 用 处 ， 因 为 Nmap SARKI 
操作 系统 检测 功能 .还 有 其 他 几 个 系统 使 用 和 Windows 同样 的 处 理 方式 ,包括 Cisco. BSDI. HP/UX, 
MYS、IRIX。 在 应 该 抛弃 数据 包 时 ， 以 上 这 些 系统 都 会 从 打开 的 端口 发 出 复位 数据 包 。 

4) -SP 

ping 扫 摘 : 有 时 用 户 只 是 想 知道 此 时 网 络 上 哪些 主机 正在 运行 。 通过 同 用 户 指 定 的 网 络 内 的 
每 个 IP 地 址 发 送 ICMP echo 请 求 数 据 包 , Nmap 就 可 以 完成 这 项 任务 。 如 果 主 机 正在 运行 束 会 作 
出 啊 应 。 不 科 的 是 ， 一 些 站 点 会 主动 阻塞 ICMP echo 请 求 数 据 包 。 然 而， 在 默认 的 情况 下 Nmap 
也 能 够 问 80 端口 发 送 TCP ack 包 ， 如 果 用 户 收 到 一 个 RST 包 ， 则 表示 主机 正在 运行 。Nmap 使 
用 的 第 三 种 技术 是 : 发 送 一 个 SYN 包 , 然后 等 待 一 个 RST 或 者 SYN/ACK 包 。 对 于 非 root HF , 
Nmap 使 用 connectO 方 法 。 在 默认 的 情况 下 (root 用 户 ) , Nmap 并 行使 用 ICMP 和 ACK 技术 。 
值得 注意 的 是 : Nmap 在 任何 情况 下 都 会 进行 ping 扫描 ， 只 有 目标 主机 处 于 运行 状态 ， 才 会 进行 
后 续 的 扫描 。 如果 用 户 只 是 想 知道 目标 主机 是 人 否 运行 , 而 不 想 进 行 其 他 扫 摘 , 才 会 用 到 这 个 选项 。 

5) -SU 

UDP 扫 摘 :如果 用 户 想 知道 在 东台 主机 上 提供 哪些 UDP 服务 ,可 以 使 用 这 种 扫描 方法 .Nmap 
首先 回 目标 主机 的 每 个 端口 发 出 一 个 0 字 节 的 UDP 包 , 如 果 我 们 收 到 端口 不 可 达 的 ICMP TH 4b 
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站 口 加 是 关闭 的 ， 人 否则 我 们 惑 假 镶 它 是 打开 的 。 

6) -SA 

ACK Hfi: 这 项 高 级 的 扫 摘 方法 通 冲 用 来 罕 过 防火 场 的 规则 集 。 通 名 情况 下 ， 这 有 助 于 确 
定 一 个 防火 墙 是 功能 比较 完善 的 或 者 是 一 个 简单 的 包 过 滤 程 序 ， 上 只 是 阻塞 进入 的 SYN 包 。 这 种 
扫描 是 癌 特 定 的 器 口 发送 ACK 包 使 用 随机 的 应 答 / 序 列 写 ) 。 如 果 返 回 一 个 RST 包 ， 这 个 端 
口误 标记 为 unfiltered 状态 。 如 有 果 什 么 都 没有 返回 ， 或 者 返回 一 个 不 可 达 ICMP TB. IX 
就 归 入 filtered 类 。 注 意 ，Nmap 通常 不 输出 unfiltered 的 端口 ， 所 以 在 输出 中 通常 不 显示 所 有 被 
探测 的 病 口 。 显 然 ， 这 种 扫 搬 方式 不 能 找 出 处 于 打开 状态 的 端口 。 

7) -sW 

对 滑动 窗口 的 扫描 : 这 项 高 级 扫描 技术 非常 类 似 于 ACK 扫 摘 ， 除 了 它 有 时 可 以 检测 到 处 于 
打开 状态 的 咒 口 ， 因 为 滑动 窗口 的 大 小 是 不 规则 的 ， 有 上 坚 操 作 系 统 可 以 报告 其 大 小 。 这 些 系统 至 
少 包 括 : 某 些 版 本 的 AIX, Amiga, BeOS, BSDI, Cray, Tru64 UNIX, DG/UX, OpenVMS, 
Digital UNIX, OpenBSD, OpenStep, QNX, Rhapsody. SunOS 4.xX、Ultrx、VAX、VXWORKS。 
从 nmap-hackers 邮件 3 列表 的 文档 中 可 以 得 到 完整 的 列表 。 

8) -SR 

RPC 扫描 : 这 种 方法 和 Nmap 的 其 他 不 同 的 妆 口 扫 擂 方法 结合 使 用 。 选 择 所 有 处 于 打开 状 
SHm H ENIE SunRPC 程序 的 NULL 命令 ， 以 确定 它们 是 否 是 RPC mH, WREE 
定 是 哪 种 软件 及 其 版 本 写 。 因 此 用 户 能 够 获得 防火 墙 的 一 些 信息 。 诱 钮 扫 插 目前 还 不 能 和 RPC 
扫 拉 结合 使 用 。 

2. 通用 扫 摘 选项 

1) -PO 

在 扫描 之 前 ， 不 必 ping EHL. AEW kiA YF ICMP echo 请 求 军 过 ， 使 用 该 选项 
可 以 对 这 些 网 络 进行 扫描 。microsoft.com 束 古 一 个 例子 ， 因 此 在 扫描 该 站 点 时 ， 用户 应 该 一 直 使 
用 -P0 或 者 -PT 80 选项 。 

2) -PT 

扫描 之 前 ， 使 用 TCP ping 确定 哪些 主机 正在 运行 。Nmap 不 是 通过 发 运 ICMP echo 请 求 包 
然后 等 待 响应 来 实现 这 种 功能 ， 而 是 向 目标 网 络 〈 或 者 单一 主机 ) 发 出 TCP ACK 包 然 后 等 待 回 
应 。 如 果 主 机 正在 运行 就 会 运 回 RST 包 。 只 有 在 目标 网 络 /主机 阻 罕 了 ping 包 ， 而 仍旧 允许 用 户 
对 其 进行 扫 摘 时 , 该 选项 才 有 效 。 对 于 非 root HF, 我 们 使 用 connectO 系 统 调用 来 实现 这 项 功能 。 
使 用 -PT < 冰 口 号 > 来 设 定 目标 端口 。 默 认 的 端口 号 是 809， 因 为 这 个 病 口 通常 不 会 被 过 小 。 

3) -PS 

对 于 root 用户， 该 选项 让 Nmap 使 用 SYN 包 而 不 是 ACK 包 来 对 目标 主机 进行 扫描 。 如 采 
主机 正在 运行 ， 则 返回 一 个 RST 包 (或 者 一 个 SYN/ACK 包 ) 。 

4) -PI 

设置 该 选项 ， 让 Nmap 使 用 真正 的 ping (ICMP echo 请 求 ) 来 扫描 目标 主机 是 否 正在 运行 。 
使 用 该 选项 让 Nmap 发 现 正 在 运行 的 主机 的 同时 ，Nmap 也 会 对 用 户 的 直接 子 网 广播 地 址 进行 观 
罕 。 百 接 子 网 广播 地 址 ， 把 外 部 的 包 转 换 为 一 个 内 同 的 IP 广播 包 ， 回 一 个 计算 机 子 网 发送。 这 
些 卫 广播 包 应 该 删除 ， 因 为 会 造成 拒绝 服务 攻击 《例如 smurf) 。 
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5) -PB 

这 是 默认 的 ping 扫描 选项 。 它 使 用 ACK (-PT) 和 ICMP C-PD 两 种 扫描 类 型 并 行 扫描 。 
如 有 果 防 火 墙 能 够 过 小 其 中 一 种 包 ， 使 用 这 种 方法 ， 用 户 丈 能 够 容 过 防火 增 。 

6) -O 

该 选项 激活 对 TCP/P 指纹 特征 〈fingerprinting) 的 扫描 ， 获 得 远程 主机 的 标志 。 换 名 话说 ， 
Nmap 使 用 一 些 技术 检测 目标 主机 操作 系统 网 络 协 议 栈 的 特征 。Nmap 使 用 这 些 信息 建立 远程 主机 
的 指纹 特征 , 把 它 和 已 知 的 操作 系统 指纹 特征 数据 库 做 比较 , 就 可 以 知道 目标 主机 操作 系统 的 类 型 。 

7) -I 

该 选项 打开 Nmap 的 反 向 标志 扫描 功能 。Dave Goldsmith 1996 年 向 bugtap 发 出 的 邮件 注意 
到 这 个 协议 ，ident 协议 允许 使 用 TCP 连接 给 出 任何 进程 拥有 者 的 用 户 名 ， 即 使 这 个 进程 并 没有 
初始 化 连接 。 例 如 ， 用 户 可 以 连接 到 HTTP 端口 ， 接 着 使 用 identd 确定 这 个 服务 器 是 否 由 root 
用 户 运 行 。 这 种 扫描 只 能 在 同 目标 端口 建立 完全 的 TCP 连接 时 (例如: -sT 扫描 选项 ) 才能 成 功 。 
使 用 -I 选项 时 ， 远 程 主机 的 identd 精灵 进程 就 会 查询 在 每 个 打开 的 端口 上 监听 的 进程 的 拥有 者 。 
显然 ， 如 果 远 程 主机 没有 运行 identd 程序 ， 这 种 扫描 方法 无 效 。 

8) -f 

该 选项 使 Nmap 使 用 碎片 IP 数据 包 发 送 SYN、FIN、XMAS、NULL。 使 用 碎片 数据 包 增 加 
包 过 滤 、 入 侵 检 测 系 统 的 难度 ， 使 其 无 法 知道 用 户 的 企图 。 因 此 ， 在 Nmap 中 使 用 了 24 个 字 节 
的 碎片 数据 包 。 虽 然 包 过 滤器 和 防火 墙 不 能 防 这 种 方法 ， 但 是 有 很 多 网 络 出 于 性 能 上 的 考虑 ， 禁 
止 数 据 包 的 分 乒 。 注 意 该 选项 不 能 在 所 有 的 平台 上 使 用 。 它 在 Linux, FreeBSD, OpenBSD 以 及 
其 他 一 些 UNIX 系统 下 能 够 很 好 地 工作 。 

9) -V 

见 余 模式 。 强 烈 推 荐 使 用 该 选项 ， 它 会 给 出 扫描 过 程 中 的 详细 信息 。 使 用 这 个 选项 ， 用 户 可 
以 得 到 事半功倍 的 效果 。 使 用 -d 选项 可 以 得 到 更 加 详细 的 信息 。 

10) -h 

快速 参考 选项 。 

11) oN 

把 扫 摘 结果 重 定 同 到 一 个 可 读 的 文件 logfilename 中 。 

12) -oM 

1E 415845 REE IfI logfilename 文件 中 ， 这 个 文件 使 用 主机 可 以 解析 的 语法 。 用 户 可 以 使 
用 -oM 来 代替 logfilename， 这 样 输出 就 被 重 定 问 到 标准 输出 stdout。 在 这 种 情况 下 ， 正 常 的 输出 
将 被 覆盖 ， 错 误 信息 仍然 可 以 输出 标准 错误 stderr。 要 注意 ， 如 果 同 时 使 用 了 -v 选项 ， 在 屏幕 上 
会 打印 出 其 他 的 信息 。 

13) -resume 

某 个 网 络 扫描 可 能 由 于 control-C 或 者 网 络 损失 等 原因 被 中 断 ， 使 用 该 选项 可 以 使 扫描 接着 
以 前 的 扫描 进行 。logfilename 是 被 取消 扫描 的 日 志文 件 ,， 它 必须 是 可 读 形式 或 者 机 器 可 以 解析 的 
形式 。 而 且 接着 进行 的 扫描 不 能 增加 新 的 选项 ， 只 能 使 用 与 被 中 断 的 扫描 相同 的 选项 。Nmap 会 
接 痢 日 志文 件 中 的 最 后 一 次 成 功 扫 拉 进行 新 的 扫描 。 
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14) -iL 

从 inputfilename 文件 中 读 取 扫描 的 目标 。 在 这 个 文件 中 要 有 一 个 主机 或 者 网 络 的 列表 , 由 空 
格 键 、 制 表 键 或 者 回 车 键 作 为 分 隔 符 。 如 果 使 用 -iL -，Nmap 就 会 从 标准 输入 stdin 读 取 主机 的 名 
字 。 用 户 可 以 从 指定 目标 小 市 得 到 更 加 评 细 的 信息 。 

15) -iR 

让 Nmap 目 己 随机 挑选 主机 进行 扫 摘 。 

16) -p < 应 口 范围 > 

该 选项 让 用 户 选 择 要 进行 扫 接 的 病 口 写 的 范围 。 例 如 ，-p 23 Xn: 只 扫 摘 目标 主机 的 23 m 
端口 。-p 20-30、139、60000- 表 示 : 扫描 20—30 号 端口 ，139 号 端口 以 及 所 有 大 于 60000 的 端口 。 
在 默认 情况 下 ，Nmap 扫描 从 1 一 1024 写 以 及 nmap-services 文件 〈 如 果 使 用 RPM 软件 包 ， 一 般 
在 /usrshare/nmap/ 目 录 中 ) 中 定义 的 端口 列表 。 

17) -F 

快速 扫描 模式 ， 只 扫描 在 nmap-serviees 文件 中 列 出 的 端口 。 显 然 比 扫描 所 有 的 65535 ^T 
口 要 快 。 

18) -D 

使 用 诱饵 扫描 方法 对 目标 网 络 /主机 进行 扫描 。 如 果 Nmap 使 用 这 种 方法 对 目标 网 络 进 行 扫 
挡 ， 那 么 从 目标 主机 /网 络 的 角度 来 看 ， 扫 摘 惑 像 从 其 他 主机 《〈decoyl1， 等 ) 上 友 出 的 。 从 而 ， 即 使 
目标 主机 的 IDS (入 侵 检测 系统 ) 对 靖 口 扫描 发 出 报警 ， 它 们 也 不 可 能 知道 哪个 是 其 正 发 起 扫 摘 
的 地 址 ， 哪 个 是 无 率 的 。 这 种 扫 摘 方法 可 以 有 效 地 对 付 例 如 路 由 跟踪 、response-dropping 等 积极 
的 防御 机 制 ， 能 够 很 好 地 隐藏 用 户 的 IP 地 址 。 每 个 诱 钮 主机 名 使 用 逗 与 分 阳 开 ， 用 户 也 可 以 使 
用 ME 选项 ， 它 代表 用 户 上 自己 的 主机 ， 和 诱饵 主机 名 混杂 在 一 起 。 如 采用 户 把 ME 放 在 第 六 或 者 
更 靠 后 的 位 置 ， 一 些 端口 扫描 检测 软件 儿 乎 根本 不 会 显示 用 户 的 IP 地 址 。 如 采用 户 不 使 用 ME 
选项 ， Nmap 会 把 用 户 的 IP 地 址 随机 夹杂 在 诱饵 主机 之 中 。 需 要 注意 的 是 : 用 户 用 来 作为 诱饵 的 
主机 应 该 正在 运行 或 者 用 户 只 是 偶尔 癌 目 标 发 送 SYN 数据 包 。 很 显然 ， 如 果 在 网 络 上 只 有 一 台 
主机 运行 ， 目 标 将 很 轻松 地 就 能 确定 是 哪 台 主机 进行 的 扫 摘 。 或 许 HII XS ECBE EH VSTHIT IP 
地 址 而 不 是 其 域名 , 这 样 诱饵 网 络 的 域名 服务 器 的 日 志 上 就 不 会 留 下 关于 用 户 的 记录 。 还 要 注意 : 

些 轧 幼 的 端口 扫 摘 检 训 软 件 会 拒绝 路 由 试图 进行 问 口 扫 摘 的 主机 。 因 而 ,， 用户 需 要 让 目标 主机 

和 一 些 诱饵 断 开 连 接 。 如 果 诱 饵 是 目标 主机 的 网 关 或 者 就 是 其 日 己 时 , 会 给 目标 主机 造成 很 大 问 
题 。 所 以 用 户 需 要 慎重 使 用 这 个 选项 。 诱 乌 扫 摘 既 可 以 在 起 始 的 ping 扫描 ， 也 可 以 在 真正 的 扫 
摘 状 态 下 使 用 。 它 也 可 以 和 -O 选项 组 合 使 用 。 使 用 太 多 的 诱饵 扫 揪 能 够 减缓 用 户 的 扫 揪 速度 其 
至 可 能 造成 扫描 络 末 不 正确 。 同 时 ， 有 些 ISP 会 把 用 户 的 欺骗 包 过 滤 择 ， 仅 管 现在 大 多 数 的 ISP 
不 会 对 此 进行 限制 。 

19) -S«IP Address» 

在 一 些 情况 下 ，Nmap 可 能 无 法 确定 用 户 的 源 地 址 。 在 这 种 情况 下 ， 可 以 使 用 该 选项 给 出 用 
户 的 IP 地 址 。 在 欺骗 扫描 时 ， 也 使 用 这 个 选项 。 使 用 该 选项 可 以 让 目标 认为 是 其 他 的 主机 对 自 
己 进行 扫描 。 

20) -e 

告诉 Nmap 使 用 哪个 接口 发 送 和 接收 数据 包 。Nmap 能 够 自动 对 此 接口 进行 检测 ， 如 果 无 效 
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就 会 告诉 用 户 。 
21) -g 
设置 扫 摘 的 源 端口 。 一 些 简单 的 防火 场 和 包 过 滤器 的 规则 集 允 许 源 端 口 为 DNS (53) 或 者 
FTP-DATA (200 的 包 通 过 和 实现 连接 。 显 然 ， 如 果 攻 击 者 把 源 问 口 修改 为 20 或 者 33， 就 可 以 
ERKE. EEH UDP 扫描 时 ， 移 使 用 53 Sim; 使 用 TCP 扫描 时 ， 先 使 用 20 "3m 
口 。 注 意 只 有 在 能 够 使 用 这 个 端口 进行 扫描 时 ，Nmap 才 会 使 用 该 端口 。 例 如 ， 如 果 用 户 无 法 进 
ÍT TCP Hfi, Nmap 会 目 动 改 变 源 端口 ， 即 使 用 户 使 用 了 -g 选项 。 对 于 一 些 扫描 ， 使 用 该 选项 会 
造成 性 能 上 的 微小 损失 ， 因 为 有 时 会 保存 关于 特定 源 端 口 的 一 些 有 用 的 信息 。 
22) -r 
告诉 Nmap 不 要 打 乱 被 扫描 奖 口 的 顺序 。 
23) --randomize hosts 
使 Nmap 在 扫描 之 前 打 乱 每 组 扫描 中 的 主机 顺序 ，Nmap 每 组 可 以 扫描 最 多 2048 & EHL. 
这 样 ， 可 以 使 扫 摘 更 不 容易 被 网 络 监 视 占 发 现 ， 尤 其 和 --scan_delay 选项 组 合 使 用 ， 更 能 有 效 地 
JE f AL BI 
24) -M 
设置 进行 TCP connectO 扫 摘 时 最 多 使 用 多 少 个 套 接 字 进 行 并 行 的 扫 摘 。 使 用 该 选项 可 以 降 
低 扫 描 速 度 ， 避 免 远程 目标 罕 机 。 
3. 高 级 设置 选项 
E, Nmap 在 运行 时 ， 能 够 很 好 地 根据 网 络 特点 进行 调整 。 扫 描 时 ，Nmap 会 尽量 减少 被 
目标 检测 到 的 机 会 ， 同 时 尽 可 能 加 快 扫描 速度 。 然 而 Nmap 默认 的 适时 策略 有 时 候 不 太 适 合用 户 
的 目标 。 使 用 下 面 这 些 选 项 ， 可 以 有 效 地 控制 Nmap 的 扫 朱 时 间 。 
1) -T 
设置 Nmap 的 扫 拉 策略 ， 主 要 有 以 下 儿 种 。 
= Paranoid: 为 了 避 开 IDS 的 检测 使 扫 质 速度 极 慢 ，Nmap 串 行 所 有 的 扫描 ， 公 少 每 阳 5 
4) Pp S — ^. 
=  Sneaky: 和 Paranoid 天 不 多 ， 只 是 数据 包 的 发 送 间 隅 是 15 Mb. 
» — Polite: 不 增加 太 大 的 网 络 负 和 载 ， 人 避免 宕 挥 目 标 主 机 ， 串 行 每 个 探测 ， 并 且 使 每 个 探测 
有 0.4 秒 的 间隔 。 
= Normal: Nmap 默认 的 选项 ， 在 不 是 网 络 过 载 或 者 主机 / 闹 口 丢失 的 情况 下 尽 可 能 快速 
hf. 
» X Aggressive: 设置 5 分钟 的 超时 限制 ， 使 对 每 台 主 机 的 扫描 时 间 不 超过 5 分 钟 ， 并 且 使 
对 每 次 探测 回应 的 等 每 时 间 不 超过 1.5 Wb 
» ”Insane: 只 适合 快速 的 网 络 或 者 用 户 不 在 总 丢失 菏 些 信息 的 情况 ， 每 台 主 机 的 超时 限制 
是 75 秒 ， 对 每 次 探测 只 等 和 0.3 MP. 
用 户 也 可 以 使 用 数字 来 代 蔡 上 述 这 些 模式 ， 例 如 : -T 0 等 于 -T Paranoid, -T 5 等 于 -T Insane. 
只 是 上 述 这 些 模式 不 能 和 下 面 的 选项 组 合 使 用 。 
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2) --host timeout 

设置 扫描 一 台 主 机 的 时 间 ， 以 又 秒 为 捍 位 。 上 默认 情况 下 没有 超时 限制 。 

3) --max rtt timeout 

设置 对 每 次 探测 的 等 竺 时间 ， 以 寞 秒 为 单位 。 如 有 超过 这 个 时 间 限 制 下 重 传 或 者 超时 。 默 认 
值 大 约 是 9000 =H. 

4) --min rtt timeout 

当 目 标 主机 的 啊 应 很 快 时 ，Nmap 束 乡 息 每 次 探测 的 超时 时 间 。 这 样 会 提 融 扫 摘 的 速度 ， 但 
是 可 能 会 丢失 茶 些 啊 应 时 间 比 较 长 的 包 。 使 用 该 选项 ， 可 以 让 Nmap 对 每 次 探测 全 少 等 竺 用 户 指 
定 的 时 间 ， 以 坚 秒 为 单位 。 

5) --initial rtt timeout 

设置 初始 探测 的 超时 值 。 通 党 该 选项 只 在 使 用 -P0 306 3013-3 8 3 s e PR] EUIS HE H e 
默认 值 是 6000 EH. 

6) --max parallelism 

设置 最 大 的 并 行 扫描 数量 。--max parallelism 1 表示 同时 只 扫 搬 一 个 端口 。 该 选项 对 其 他 的 
并 行 扫 摘 也 有 有效， 例如 ping sweep, RPC scan. 

7) --Scan delay 

设置 在 两 次 探测 之 间 ，Nmap 必须 等 每 的 时 间 。 该 选项 主要 用 于 降低 网 络 的 负载 。 

4. 扫 摘 实施 第 一 步 : 发 现 活动 主机 

使 用 Nmap 扫描 整个 网 络 寻 找 目 标 ， 以 确定 目标 机 是 人 否 处 于 连通 状态 。 通 过 使 用 -SP 命令 ， 
进行 ping 扫描 * 默 认 情 况 下 ,Nmap 会 给 每 个 扫描 到 的 主机 发 送 一 个 ICMP echo 和 一 个 TCP ACK, 
主机 对 任何 一 种 响应 都 会 补 Nmap 得 到 ， 扫 描 速 度 非 音 快 ， 在 很 短 的 时 间 内 可 以 扫 摘 一 个 很 大 的 
网 络 。 该 命令 使 用 如 下 : 
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sie Erico bU TES T WWwWaueseeurccote nada dte) Isa 
Höst 10.1.4. L appesars to be up. 

MAC Address: 00 -0B CD Po ER AS (Conpag WHEN) 
Host DAO Appears tO De Up. 

MAC Address: 00:1E:65:F0:48:B8 (Unknown) 

Host TO 4A ecaopests to De up- 

MAC Aceiress: 90:18 356 560002959 m Snow) 

Host TO. T.4.9- appears bo be up, 

MAC Address: 00:13:CE:FA:45:4A (Intel Corporate) 
Host Oy hd lA appears to be cups 

MAC Address: 00:21:5C:64:0D:07 (Unknown) 

EOS oe ml ee 


MAC Aceiresss 00: :30:8 


HOSE 10.1,.4. 


MAC Address: 


Hosted 


MAC Address: 


Heo 10,1.,4 


MAC Address: 


Hosr 10.1.4 


MAC Address: 


Hoste 10,1.,4 


MAC Address: 


Hosgr 10.1.4 


HOB@E 10.1.4 


MAC Address: 


Hosr de md ed. 


MAC Address: 


Hosgr 10.1.4 


16 appears to be up. 


0051C: BF:A4302339 (Unknown) 


.18 appears to be up. 


00: 1C: BE: D5 30304 (Unknown) 


.20 appears to be up. 


Q00: JC BE958 6 3C (Unknown) 


.21 appears to be up. 


00: IC BE 96) Tem WE) 


222 Appears TO bes up. 


edm s necp (UnNkAOwA) 


.23 appears to be up. 


CT ee Up. 


00:22:FA:CA:C6:7A (Unknown) 


.26 appears to be up. 


00:26: BB:0Fs40:301 (Unknown) 


.27 appears to be up. 
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MAC Address: 00:22:FA:B0:BB:D2 (Unknown) 

Fost On uade o 

MAC Address: 00:1E:65:F2:76:96 (Unknown) 

Loquere oc 

DING ad =- -00 Hg BE OD gem me wn 

DE 

Nmap finished: 256 IP addresses (125 hosts up) scanned in 7.852 seconds 

bid. n UERSUM 125 全 主机 是 活跃 的 ， 也 残 是 说 有 机 可 趁 ， 下 一 步 岗 
是 要 进行 更 证 细 的 扫 接 ， 来 扫 插 这 些 主 机 a 到 乓 有 些 什么 活动 病 口 。 

5. 扫描 实施 第 二 步 : 扫描 端口 扫描 

通常 情况 下 ， 当 Nmap 的 使 用 者 确定 了 网 络 上 运行 的 主机 处 于 连通 状态 ,下 一 步 的 工作 就 是 
进行 器 口 扫 摘 。 奖 口 扫 摘 使 用 -sT 参数 。 如 下 面 结果 所 示 : 

Dae eee es on 
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DNO ecol oro TI cO OI DAD 
"rgpacinowevweskeabthescaneadderbnsbeoshosts E oS0CcDoOrtshostrieat 4 i9 
puscoverecdoopeneoobte259 co ore dT 


puscovenmedConereportes9U) Rosso 9d dc 
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The YN Stealth Scan Eook 290. 7s To ceo total or be 
Host he A a Oe i el 
TAEST o te ee On O A a: 
Noces honh a Oo n e losec dI pores 
PORT STATE SERVICE 

7/tcp open echo 

9/tcp open discard 

13/tcp open daytime 

17/tcp open qotd 

19/tcp open chargen 

21/tcp open ftp 

25/tcp open smtp 

42/tcp open nameserver 
110/tcp open pop3 

135/tcp open msrpc 

139/tcp open netbios-ssn 
143/tcp open imap 

389/tcp open ldap 

445/tcp open microsoft-ds 
465/tcp open smtps 

993/tcp open imaps 

995/tcp open pop3s 

1025/tcp open NFS-or-IIS 
1029/tcp open ms-lsa 
2008/tcp open conf 
3372/tcp open msdtc 
3389/tcp open ms-term-serv 
6000/tcp open X11 


MAC Address: 00:0B:CD:B9:EE:A8 (Compaq (HP)) 


Hosto Ub a a cas uo e pes MOL GIU 
ALL 5L680 scanned ports on 1204.1.4.6 are tibtered 


MAC Address: 00:1E:65:F0:48:B8 (Unknown) 


Host Oe toG 


AL ou Soa portos on 0 re Tl 


489 


防线 
企业 .inux 安全 运 维 理念 和 实战 


MAC Address: 00:13:CE:FA:45:4A (Intel Corporate) 


SS 
TAEST SEn Doct onm od d o: 
NE 

RORE STATE SERVICE 

139/tcp open  netbios-ssn 

bacc Toe de 


MAC Address: 00:22:FA:DB:C3:A8 (Unknown) 


Hose TOn beaa ql cdopedte to De lup 0 good: 
Iere cE r A 
Not shown: 1673 closed ports 
PORT STATE SERVICE 

80/tcp open http 

170/tcp filtered print-srv 
179/tcp filtered bgp 

218/tcp filtered mpp 

736/tcp filtered unknown 
1720/tcp filtered H.323/Q.931 
5302/tcp filtered hacl-cfg 


MAC Address: 00:1E:65:F0:78:CA (Unknown) 


DM es ou one o tT Ps ook DE 
"rbNatinoesYNesbteabthioscanvcadgernsebeU/7 hosts Hos0 DorFtsAhostiwateb4 i24 


Ineredsing cend delay Tor ed 0 Tm too oe To ll ouo dcr oppes 


probes since last increase. 


Irncnesgcmocsendsdeddsmoreo me ronde uod cute UN CIE ODDO 


probes since last increase. 
SN Stealth scandumingseAbouE Z6 dones; ETO duds NR Iesse UOI p m) 


locreasInog Sent delay TOn Or RA rone) oe om T OUE Or ve 


probes since last increase. 


站) 


可 以 清楚 地 看 到 ， 端 口 扫 描 采 用 多 种 方式 对 网 络 中 主机 的 TCP 活动 端口 进行 全 面 扫 描 ， 由 
于 扫描 的 主机 数 太 多 125 85. ， 上 面 仅 仅 给 出 了 两 台 主 机 的 TCP 端口 情况 ,也 束 是 主机 10.1.4.1 
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和 10.1.4.11， 主 机 10.1.4.1 打开 的 端口 非常 多 ,网 络 服务 也 相对 比较 丰富 ， 并 且 从 IP 地 址 的 构成 
来 看 ,该 主机 极 有 可 能 是 网 关 (一 般 网 关 的 IP 地 址 设 定 为 X.X.X.1) ， 于 是 就 锁定 了 这 台 主 机 进 
行 后 续 的 扫描 。 


6. 扫描 实施 第 三 步 : 主机 操作 系统 识别 























通 委 一 个 入 侵 者 可 能 对 祭 个 操作 系统 的 癣 洞 很 熟悉 ,能 很 轻易 地 进入 此 操作 系统 的 机 各 。 一 
个 第 见 的 选项 是 TCP/IP 上 的 指 约 ， 带 有 “-0” 选 项 决定 远程 操作 系统 的 闫 型 。 它 可 以 和 一 个 站 
口 扫 描 结 合 使 用 ， 但 不 能 和 ping 扫描 结合 使 用 。Nmap 通过 向 主机 发 送 不 同类 型 的 探测 信号 ， 缩 
小 查找 的 操作 系统 的 范围 。 如 下 面 的 扫描 结果 所 示 : 


[oo Gaboconiose ma = ll 








ser cup lt a nl OO A I e 
UT ee el te ls 
Now shown: Ooo/ Clogged Dotts 
RORI OTATE SERVICE 

TECO open echo 

Oo open discard 

I ET ne 

J kd 

19/tcp open chargen 

ZUCEG OSEE ICD S 

Dee OPE STIS, 

42/tcp open nameserver 
"NH A ECT OE 

Eoo e mree 

139/tcp open netbios-ssn 
143/tcp open imap 

389/tcp open aa 

"Dr ARCET ema mme oso ids 
465/tcp open smtps 

993/tcp open imaps 

995/tcp open pop3s 
人 
1029/tcp open ms-1sa 

OOP SECIDRSODCDe OE 

922 UAE CDU OPen Tas cto 


3389/tcp open ms-term-serv 
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GOOD ep oe d 


MACORdcelpe cere OD Do muc e ocu EE 


Device type: general purpose 


Running: Microsoft Windows 95/98/ME|NT/2K/XP 


OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 


Professional or Advanced Server, or Windows XP 


Nmap ueste ce UE ccdaccscc m oStemDuSSccmnecdewneoos dos ccconads 

通过 上 述 扫 摘 结果 可 以 看 到 ，10.1.4.1 这 台 机 器 运行 的 是 Windows 系列 的 操作 系统 ， 并 且 提 
供 了 一 些 比较 钊 用 的 网 络 服务 。 

7. 扫描 实施 第 四 步 : 扫描 总 结 归 纳 


通过 上 述 三 步 的 扫 摘 实施 ， 逐 步 总 结 得 出 了 以 下 儿 点 结论 和 经 验 。 








闪 口 扫 朱 的 步骤 是 先 发 现 活动 主机 ， 然 后 发 现 活动 主机 的 活动 靖 口 ， 从 而 硝 定 需要 重 
点 关注 或 者 需要 供给 的 主机 ， 一 般 这 些 主机 是 服务 病 口 开 得 多 的 主机 ;然后 册 对 重点 
关注 的 主机 实行 操作 系统 扫 摘 ， 从 而 确定 操作 系统 类 型 ， 以 便 从 操作 系统 层面 来 寻找 
突破 口 ; HED R MWR Windows 操作 系统 的 话 ， 那 么 束 有 比较 大 的 攻击 或 者 古 
安全 维护 的 空间 。 
除了 上 述 几 个 利用 的 扫描 选项 外 ， 在 扫 拉 过程 中 还 需要 综合 采用 其 他 -T 之 类 的 选项 ， 
以 保证 扫 摘 不 被 对 方 友 现 ， 合 则 对 于 有 具有 丰 蛙 管理 经 验 的 管理 员 来 说， 很 容易 发 现 这 
种 扫 搞 行为 ， 引 起 反 扎 踩 甚 全 是 报复 性 的 攻击 等 。 当 然 ， 对 于 内 网 的 网 管 性 的 维护 工 
VES UL, WU Hx NES. 
在 使 用 Nmap XEfTT4SIEJG , OFT EEA MO O IBOSE NOEL HAS AR. 还 可 以 使 用 
K 17-1 ITERE, AE MA m EI HORE NER) JE BUR Ap, Auf y P 2E BIDS. 
性 的 攻击 或 者 是 网 络 管理 作 好 准备 。 
3 17-1 常用 端口 及 对 应 服务 列表 
端口 服务 名 称 im A ih BH 

tcpmux TCP 妆 口 服务 多 路 复 用 

rje 远程 作业 入 口 

echo echo 服务 

discard 用 于 连接 测试 的 空 服 务 

systat 用 于 列举 连接 了 的 交口 的 系统 状态 

daytime 给 请 求 主 机 发 送 日 期 和 时 间 

qotd 给 连接 了 的 主机 发 送 每 日 提示 

S 消息 发 送 协议 
chargen 字符 生成 服务 ;发 送 无 目 尽 的 字符 流 
ftp-data FTP 数据 端口 
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续 表 
i 文件 传输 协议 CFTPO 端口 ， 有 时 被 文件 服务 协议 
(FSP) 使 用 
ssh 安全 shell (SSH) 服务 
telnet Telnet 服务 
smtp 简单 邮件 传输 协议 (SMTP) 
time 时 间 协 议 
rlp 资源 定位 协议 
nameserver 互联 网 名 称 服务 
nicname WHOIS 目录 服务 
"^" 用 于 基于 TCP/IP 验证 和 访问 的 终端 访问 控制 器 访 
问 控制 系统 
re-mail-ck 远程 邮件 检 奉 协议 
domain 域名 服务 (如 BIND) 
whois-- WHOIS+, p hé T Hj WHOIS 服务 


引导 协议 (BOOTP) 服务 ; 还 被 动态 主机 配置 协 
议 CDHCPO 服务 使 用 
Bootstrap (BOOTP) 客户 ; 还 被 动态 主机 配置 协议 


bootps 











bootpc 
(DHCP) 客户 使 用 
tftp 小 文件 传输 协议 (TFTP) 
gopher gopher 互联 网 文档 搜寻 和 检索 
netrjs-1l 远程 作业 服务 
netrjs-2 远程 作业 服务 
netrjs-3 远程 作业 服务 
netrjs-4 远程 作业 服务 
finger 用 于 用 户 联系 信息 的 finger 服务 
用 于 万 维 网 (WWW) 服务 的 超 文 本 传输 协议 
(HTTP) 
kerberos Kerberos 网 络 验 证 系统 
supdup Telnet 协议 扩展 
hostname SRI-NIC 机 右上 的 主机 名 服务 
iso-tsap ISO FHI (SODE) 网 络 应 用 
csnet-ns 邮箱 名 称 服务 器 ;也 被 CSO 名 称 服务 器 使 用 
rtelnet 远程 Telnet 
pop2 邮局 协议 版 本 2 
pop3 邮局 协议 版 本 3 
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ius 端口 说 明 

" 用 于 远程 命令 执行 的 远程 过 程 调用 (RPC) 协议 ， 
被 网 络 文件 系统 (NFS) 使 用 

113 验证 和 里 份 识 别 协议 

115 安全 文件 传输 协议 (SFTP) 服务 

117 UNIX 到 UNIX 复制 协议 CUUCP) 路 径 服务 

" 用 于 USENET 讨论 系统 的 网 络 新 闻 传 输 协 议 
(NNTP) 

123 ntp 网 络 时 间 协 议 CNTP) 

i m 在 红 帆 企业 Linux 中 被 Samba 使 用 的 NetBIOS 名 
称 服务 

" 在 红 帽 企业 Linux 中 被 Samba 使 用 的 NetBIOS 数 
据 报 服务 

在 红 帽 企业 Linux 中 被 Samba 使 用 的 NetBIOS 会 
话 服务 

143 互联 网 消息 存 取 协 议 〈IMAP ) 

161 人 简单 网 络 管理 协议 (SNMP) 

162 SNMP 的 陷阱 

163 通用 管理 信息 协议 (CMIP) 

164 通用 管理 信息 协议 《CMIP) 

177 X 显示 管理 器 控制 协议 

178 NextStep 窗口 服务 器 

179 边界 网 络 协议 

191 Cliffod Neuman 的 Prospero 服务 

194 irc 互联 网 中 继 聊 天 CIRCO 

199 SNMP UNIX 多 路 复 用 

201 AppleTalk 选 路 

202 AppleTalk 名 称 绑 定 

204 AppleTalk echo 服务 

206 AppleTalk 区 块 信息 

209 快速 邮件 传输 协议 COMTP) 

210 NISO Z39.50 数据 库 

Si s 互联 网 络 分 组 交换 协议 APX), 4 Novell Netware 
环境 利用 的 数据 报 协议 

220 互联 网 消息 存 取 协 议 版 本 3 
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500 
512/tep 
512/udp 
513/tep 
513/udp 
514/tep 
514/udp 
515 
517/udp 
518/udp 
519 
520/tcp 
520/udp 
521 

529 
526/tcp 
530/tep 


端口 服务 名 称 
fatserv 
rsvp tunnel 
rpc2portmap 
codaauth2 
ulistproc 
ldap 
svrloc 
mobileip-agent 
mobilip-mn 
https 
Snpp 
microsoft-ds 
kpasswd 
photuris 
saft 


gss-http 
pim-rp-disc 


isakmp 


exec 


biff [comsat] 
login 

who [whod] 
shell [cmd] 
syslog 

printer [spooler] 
talk 

ntalk 


utime [unixtime] 

efs 

router [route, routed] 
ripng 


timed [timeserver] 


tempo [newdate] 


courier [rpc] 


端口 说 明 
Fatmen 服务 器 
RSVP 隧道 
Coda 文件 系统 端口 映射 器 
Coda 文件 系统 验证 服务 
UNIX Listserv 
轻型 目录 存 取 协 议 (LDAP) 
服务 位 置 协议 (SLP) 
可 移 互 联网 协议 AP) 代理 
可 移 互 联网 协议 AP) 管理 器 
安全 超 文本 传输 协议 (HTTP) 
小 型 网 络 分 页 协议 
通过 TCP/IP 的 服务 器 消 恩 块 (SMB) 
Kerberos 口令 和 钥匙 更 换 服 务 
photuris 会 话 钥 是 管理 协议 
位 单 不 对 称 文件 传输 (SAFT)》 协议 
用 于 HTTP 的 通用 安全 服务 (GSS) 























用 于 协议 独立 的 多 址 传播 (PIM) 服务 的 会 合 点 发 


Hi (RP-DISC) 

互联 网 安全 关联 和 钥匙 管理 协议 (ISAKMP) 
用 于 对 远程 执行 的 进程 进行 验证 

异步 邮件 客户 (biff) 和 服务 (comsat) 
远程 登录 (rlogin) 

登录 的 用 户 列 表 

















不 必 登 录 的 远程 shell (rshell) 和 远程 复制 〈rcp) 


UNIX 系统 日 志 服 务 

打印 机 Gpr) 假 脱 机 

远程 对 话 服务 和 客户 

网 络 交 谈 (ntalk)， 远 程 对 话 服 务 和 客户 

UNIX 时 间 协 议 (utime) 

扩展 文件 名 服务 器 (EFS) 

选 路 信息 协议 (RIP) 

用 于 互联 网 协议 版 本 6 (IPv6) 的 选 路 信息 协议 
时 间 守 护 进程 Ctimed) 

Tempo 


Courier 远程 过 程 调 用 (RPC) 协议 
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端口 号 端口 服务 名 称 
331/tcp conference [chat] 
532 netnews 
533/udp netwall 
535 iiop 
538 gdomap 
540/tcp uucp [uucpd] 
543/tcp klogin 
544/tcp kshell 
546 dhcpv6-client 
547 dhcpv6-server 
548 afpovertcp 
556 remotefs [rfs server, rfs] 
554 rtsp 
563 nntps 
565 whoami 
587 submission 
610 npmp-local 
611 npmp-gui 
612 hmmp-ind 
631 ipp 
636 ldaps 
674 acap 
694 ha-cluster 
749 kerberos-adm 
750 kerberos-iv 
765 webster 
767 phonebook 
873 rsync 
992 telnets 
993 imaps 
994 ircs 
995 pop3s 


496 


端口 说 明 
互联 网 中 继 聊 天 
Netnews 
HFK EK Netwall 


互联 网 内 部 对 象 请 求 代理 协议 (IIOP) 

GNUstep 分 布 式 对 象 映 射 句 (GDOMAP) 

UNIX 到 UNIX 复制 服务 

Kerberos 版 本 5 (v5) 远程 登录 

Kerberos 版 本 5 (v5) 远程 shell 

动态 主机 配置 协议 (DHCP) 版 本 6 客户 

动态 主机 配置 协议 (DHCP) 版 本 6 服务 

通过 传输 控制 协议 CTCP) 的 Appletalk 文件 编制 

协议 (AFP) 

Brunhoff 的 远程 文件 系统 (RFS) 

实时 流 播 协议 CRTSP) 

通过 安全 套 接 字 层 的 网 络 新 闻 传 输 协 议 CNNTPS ) 

whoami 

邮件 消息 提交 代理 (MSA) 

网 络 外 设 管理 协议 (NPMP) 本 地 /分 布 式 排队 系统 
(DQS) 

网 络 外 设 管理 协议 NPMP) GUI 分 布 式 排 队 系统 
(DQS ) 

HMMP 指示 /DQS 

互联 网 打印 协议 〈IPP) 

通过 安全 套 接 字 层 的 轻型 目录 访问 协议 〈(LDAPS ) 

应 用 程序 配置 存 取 协议 (ACAP) 

用 于 和 带 有 高 可 用 性 的 群集 的 心跳 服务 

Kerberos 版 本 5 (v5) 的 “kadmin” 数 据 库 管理 

Kerberos hI Æ 4 (v4) 服务 

网 络 词 典 

网 络 电话 禾 

rsync 文件 传输 服务 

通过 安全 套 接 字 层 的 Telnet (TelnetS) 

通过 安全 套 接 字 层 的 互联 网 消息 存 取 协议 
(IMAPS) 

通过 安全 套 接 字 层 的 互联 网 中 继 聊 天 ARCS) 

通过 安全 套 接 字 层 的 邮局 协议 古本 3 (POPS3 ) 
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ns 端口 说 明 

1080 SOCKS 网 络 应 用 程序 代理 服务 

1236 Garcilis Packeten 远程 配置 服务 器 [al 

1300 H.323 电话 会 议 主 机 电话 安全 

1433 Microsoft SQL 服务 器 

1434 Microsoft SQL 监视 器 

1494 Citrix ICA 客户 

1512 Microsoft Windows 互联 网 名 称 服务 器 

1524 Ingres 数据 库 管理 系统 (DBMS) 锁定 服务 

1525 无 特权 的 Prospero 

1645 datametrics [old-radius] Datametrics /从 前 的 radius 项 目 

1646 sa-msg-port [oldradacct] sa-msg-port /从 前 的 radacct 项 目 

TT Kermit 文件 传输 和 管理 服务 

1701 Dtp [I2f] 第 2 层 隧道 服务 (LT2P) /第 2 层 转发 (L2FO 

1718 H.323 电信 守门 装置 发 现 机 制 

Ur H325 BA FT TERENS 

1720 H.323 电信 主持 电话 设置 

1758 小 文件 FTP 组 播 

1759 组 播 小 文件 FTP CMTFTP) 

1780 Hello Hr on 

1812 Radius 拨号 验证 和 记 账 服务 

isis Radius ic 

1911 mtp Starlight 网 络 多 媒体 传输 协议 (MTP) 

1985 hsrp Cisco 热 备 用 路 由 需 协 议 

1986 Cisco 许可 管理 守护 进程 

1997 Cisco 网 关 发 现 协议 (GDP) 

2049 nfs [nfsd] 网 络 文件 系统 (NFS) 

2102 Zephyr 通知 传输 和 发 送 服务 器 

2103 Zephyr servim Xf 

2104 Zephyr 主机 管理 器 

2401 并 行 版 本 系统 《CVS) 客户 /服务 器 操作 

T 用 于 Coda 文件 系统 Ccodacon 端口 ) 的 Venus 缓存 
管理 器 

用 于 cada Ccallback/wbc interface 界面 ) 
的 Venus 缓存 管理 器 

2431/tcp Venus 传输 控制 协议 CTCP) 的 副作用 

243l/udp Venus 用 户 数据 报 协议 CUDP) 的 副作用 
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端口 号 
2432/udp 
2433/tcp 
2433/udp 


2600 
2601 
2602 
2603 
2604 
2605 
2606 
2809 


3128/tcp 


3130 


3306 
3346 
4011 
4321 
4444 
5002 
5308 
5999 
6000 
7000 
7001 
7002 
7003 
7004 
7005 
7006 
7007 
7008 
7009 
9876 


端口 服务 名 称 
codasrv 
codasrv-se 
codasrv-se 
hpstgmgr [zebrasrv] 
discp-client [zebra] 


discp-server [ripd] 


servicemeter [ripngd] 
nsc-ccs [ospfd] 


nsc-posa 


netmon [ospfód] 
corbaloc 


squid 
icpv2 


mysql 


trnsprntproxy 


pxe 
rwhois 


krb524 


rfe 


cfengine 


cvsup [CVSup] 
x11 [X] 
afs17-fileserver 


afs17-callback 


afs17-prserver 
afs17-vlserver 
afs17-kaserver 
afs17-volser 
afs17-errors 
afs17-bos 
afs17-update 
afs17-rmtsys 


un 
em 


端口 说 明 
Coda 文件 系统 服务 器 端口 
Coda 文件 系统 TCP 副作用 
Coda 文件 系统 UDP SFTP 副作用 
HPSTGMGR; Zebra 选 路 [b] 
discp 客户 ; Zebra 集成 的 shell 
discp Hk S d; 选 路 信息 协议 守护 进程 Cripd) 
服务 计量 ， 用 于 IPv6 的 RIP 守护 进程 
NSC CCS; 开放 式 短 路 径 优 先 守护 进程 (ospfd) 
NSC POSA; 边界 网 络 协议 守护 进程 (bgpd) 
Dell Netmon; 用 于 IPv6 的 OSPF 守护 进程 Cospf6d) 
公共 对 象 请 求 代理 体系 (CORBA ) 命名 服务 定位 器 
Squid 万 维 网 代理 缓存 
互联 网 缓存 协议 版 本 2 (v2); 被 Squid 代理 缓存 服务 
器 使 用 
MySQL 数据 库 服务 
Trnsprnt 代理 
执行 前 环境 (PXE) 服务 
远程 Whois (rwhois) 服务 
Kerberos hx 5 (v5) SUCK 4 (v4) JEFE fa 
无 射频 以 太 网 (RFE) 音频 广播 系统 
配置 引擎 CCfengine) 
CVSup 文件 传输 和 更 新 工具 
X 窗口 系统 服务 
Andrew 文件 系统 (AFS) 文件 服务 器 
用 于 给 绥 存 管理 器 回电 的 AFS 端口 
AFS 用 户 和 组 群 数据 库 
AFS 文件 卷 位 置 数据 库 
AFS Kerberos 验证 服务 
AFS 文件 卷 管理 服务 器 
AFS 错误 解释 服务 
AFS 基本 检 和 碍 进程 
AFS 服务 器 到 服务 器 更 新 器 
AFS 远程 缓存 管理 器 服务 
会 话 指引 器 
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端口 号 端口 服务 名 称 端口 说 明 
高 级 Maryland 上 自动 网 络 磁 盘 归 档 器 (Amanda) 备 
10080 amanda 
份 服务 
民 好 隐私 (PGP) /GNU 隐私 卫士 GPG) 公 乌 服 
11371 pgpkeyserver ， 
S d 
11720 h323callsigalt H.323 调用 信号 交替 
13720 bprd Veritas NetBackup 请 求 守 护 进 程 (bprd) 
13721 bpdbm Veritas NetBackup 数据 库 管理 器 (bpdbm) 


Veritas NetBackup Java/Microsoft Visual C++ 


bpjava-msvc N 
(MSVC) 协议 


mÓ 
i9») 
~ 
N 
N 


13724 vnetd Veritas 网 络 工具 
13782 bpcd Vertias NetBackup 
13783 vopied Veritas VOPIED 协议 
22273 wnnó [wnn4] 假名 /汉字 转换 系统 [c] 


26000 quake Quake 〈 以 及 相关 的 ) 多 人 游戏 服务 器 


traceroute Traceroute 网 络 跟 踪 工 具 
* * 
ik 1 


Nmap 的 确 不错 ， 能 够 轻松 地 实现 TCP HR UDP 扫描 、 操 作 系统 指纹 扫描 、 隐 蔽 扫描 等 
方式 ， 也 能 得 到 活动 的 主机 及 其 端口 ， 还 能 通过 表 17-1 确认 该 端口 对 应 的 网 络 或 者 系统 服务 ， 
从 而 通过 其 他 方式 来 获取 这 些 服务 的 漏洞 友 起 攻击 或 者 是 进行 网 络 安全 管理 。 那 么 ， 有 没有 一 种 
比 以 Nmap 为 代表 的 端口 扫描 技术 更 加 具有 针对 性 的 漏洞 发 现 扩 术 呢 ? 


17.3.1 漏洞 扫描 基本 原理 


漏洞 扫描 束 是 对 计算 机 系统 或 者 其 他 网 络 设备 进行 安全 相关 的 检测 , 以 找 出 安全 隐患 和 可 被 
墨客 利用 的 漏 铜 。 显 然 ， 漏 铀 扫描 软件 是 把 双 刃 刘 ， 墨 客 利用 它 入 侵 系 统 ， 而 系统 管理 员 和 学 握 它 
以 后 又 可 以 有 效 地 防范 黑客 入 侵 。 因 此 ， 漏 洞 扫 摘 是 保证 系统 和 网 络 安 全 必 不 可 少 的 手段 ， 必 须 
仔细 研究 和 利用 。 

漏洞 扫描 通 利 采用 两 种 介 略 ， 第 一 种 是 航 动 式 荣 略 ， 第 二 种 是 主动 式 梨 略 。 所 谓 被 动 式 傅 略 
驶 是 基于 主机 之 上 ,对 系统 中 不 合适 的 设置 、 脆 弱 的 口令 以 及 其 他 同安 全 规则 抵触 的 对 象 进行 检 
A; 而 主动 式 开 上 略 是 基于 网 络 的 ， 它 通 过 执行 一 些 脚本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 系 
统 的 反应 ， 从 而 发 现 其 中 的 源 洞 。 利 用 被 动 式 束 略 扫 搬 称 为 系统 安全 扫 插 ， 利用 主动 式 末 上 略 扫 插 
称 为 网 络 安全 扫描 。 


U 
O2 
A 
U 
A 


到 
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下 面 介 绍 漏 洞 扫 撞 的 四 种 检测 扩 术 。 


基于 应 用 的 检测 技术 。 它 采用 被 动 的 、 非 破坏 性 的 办 法 检查 应 用 软件 包 的 设置 ， 发 现 
安全 漏洞 。 

基于 主机 的 检测 技术 。 它 采用 被 动 的 、 非 破坏 性 的 办 法 对 系统 进行 检测 。 通 常 它 涉 及 
系统 的 内 核 、 文 件 的 属性 、 操 作 系 统 的 补丁 等 问题 。 这 种 技术 还 包括 口令 解密 ， 把 一 
些 简单 的 口令 剔除 。 因 此 这 种 技术 可 以 非 癌 准确 地 定位 系统 的 问题 ， 发 现 系 统 的 漏洞 。 
其 缺点 是 与 平台 相关 ， 升 级 复杂 。 

基于 目标 的 漏洞 检测 技术 。 它 采用 被 动 的 、 非 破坏 性 的 办 法 检查 系统 属性 和 文件 属性 ， 
如 数据 库 、 注 册 号 等 。 通 过 消 恩 文摘 算法 ， 对 文件 的 加 密 数 进行 检验 。 这 种 技术 的 实 
现 是 运行 在 一 个 财 环 上 ， 不 断 地 处 理 文 件 、 系 统 目标 。 系 统 目标 属性 ， 然 后 产生 检验 
数 ， 把 这 些 检验 数 同 原 来 的 检验 数 相 比较 。 一 旦 发 现 改 变 了 就 通知 管理 员 。 

基于 网 络 的 检测 技术 。 它 采用 积极 的 、 非 破 环 性 的 办 法 来 检验 系统 是 否 有 可 能 被 攻击 
月 滥 。 它 利用 一 系列 的 脚本 模拟 对 系统 进行 攻击 的 行为 ， 然 后 对 结果 进行 分 析 。 它 还 
针对 已 知 的 网 络 漏洞 进行 从 验 。 网 络 答 测 扩 术 第 被 用 来 进行 军 透 实验 和 安全 审 记 。 这 
种 撤 术 可 以 发 现 一 系列 平台 的 漏 筒 ， 也 容易 安 逆 。 但 是 它 可 能 会 影响 网 络 的 性 能 。 















































优秀 的 安全 扫描 产品 应 该 是 综合 了 以 上 4 种 方法 的 优点 ， 最 大 限度 地 增强 漏洞 识别 的 精度 。 
17.3.2 选择: 网 络 漏洞 扫描 与 主机 漏洞 扫描 
基于 网 络 的 漏洞 扫描 器 有 很 多 优点 。 


价格 方面 。 基 于 网 络 的 漏 铀 扫描 需 的 价格 相对 来 说 比较 便宜 。 

基于 网 络 的 漏洞 扫 朱 亏 在 操作 过 程 中 ， 不 需要 涉及 目标 系统 的 管理 员 。 基 于 网 络 的 漏 
洞 扫 描 需 ， 在 检测 过 程 中 ， 不 需要 在 目标 系统 上 安 闭 任何 东西 。 

维护 简便 。 当 企业 的 网 络 发 生 了 变化 的 时 候 ， 只 要 某 个 市 点 ， 束 能 够 扫 摘 网 络 中 的 全 
部 目标 系统 ， 而 基于 网 络 的 漏洞 扫描 霍 不 需要 进行 调整 。 




















相对 于 前 者 来 说 ， 基 于 主机 的 漏洞 扫描 有 以 下 优点 。 


扫描 的 漏洞 数量 多 。 由 于 通 利 在 目标 系统 上 安 冯 了 一 个 代理 〈Agent) 或 者 是 服务 
(Services) ， 以 便 能 够 访问 所 有 的 文件 与 进程 ， 这 也 使 得 基于 主机 的 漏洞 扫描 天 能 够 扫 
撞 更 多 的 漏 铜 。 这 一 点 在 前 面 已 经 捉 到 过 。 

集中 化 管理 。 基 于 主机 的 调 洞 扫描 器 通常 都 有 一 个 集中 的 服务 器 作为 扫描 服务 妖 。 所 
有 扫描 的 指令 均 从 服务 善 进行 控制 ， 这 一 氮 与 基于 网 络 的 扫描 需 尖 似 。 服 务 右 从 下 载 
到 最 新 的 代理 程序 后 ， 再 分 发 给 各 个 代理 。 这 种 集中 化 管理 模式 ， 使 得 基于 主机 的 漏 
MAREE RE REKI. 
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TCU 13-1358 8 PT v HJ 5600 和 5601 这 两 个 哨 口 ， 漏 调 扫 描 套 即 可 完成 漏洞 扫 朱 的 工作 。 

然而 ， 基 于 主机 的 漏洞 扫描 工具 也 存在 以 下 不 足 乙 处 。 

= ”价格 方面 。 基 于 主机 的 源 洞 扫 揪 工具 的 价格 ， 通 第 由 一 个 定理 如 的 许可 证 价格 加 上 目 
标 系统 的 数量 来 决定 ， 当 一 个 企业 网 络 中 的 目标 主机 较 多 时 ， 扫 揪 工 具 的 价格 束 非 第 
局 。 通 第 ， 只 有 实力 强大 的 公司 和 政府 部 门 才 有 人 能力 购 买 这 种 漏洞 扫 插 工具 。 

s 基于 主机 的 漏 筒 扫描 工具 ， 需 要 在 目标 主机 上 安 疤 一 个 代理 或 服务 ， 而 从 管理 员 的 角 
度 来 说 ， 并 不 希 副 在 重要 的 机 闫 上 安 厂 目 己 不 确定 的 软件 。 

n ” 随 看 所 要 扫 搬 的 网 络 范 围 的 扩大 ， 在 部 闭 基 于 主机 的 泼 洞 扫 揪 工具 的 代理 软件 的 时 候 ， 
需要 与 每 个 目标 系统 的 用 户 打 交道 ， 必 然 延长 了 首次 部 普 的 工作 周期 。 


17.3.3 ”高 效 使 用 网 络 漏洞 扫描 























1. 网 络 漏洞 扫描 器 的 构成 


网 络 漏洞 扫描 器 的 一 种 扫描 原理 和 工作 原理 为 : 通过 远程 检测 目标 主机 TCP/IP 不 同 端口 的 
服务 ， 记 录 目 标 给 予 的 回答 。 通 过 这 种 方法 ， 可 以 搜集 到 很 多 目标 主机 的 各 种 信息 ， 例 如 : iit 
能 用 匿名 登录 、 是 否 有 可 写 的 FTP 有 目录 、 是 耕 能 用 Telnet, httpd 是 否 用 root 在 运行 等 。 在 获得 
目标 主机 TCP/IP 端口 和 其 对 应 的 网 络 访问 服务 的 相关 信息 后 ， 与 网 络 漏洞 扫 朱 系统 提供 的 漏 润 
库 进 行 中 配 ， 如 果 满 足 匹 配 条 件 ， 则 视 为 漏洞 存在 。 此 外 ， 通 过 模拟 黑客 的 进攻 手法 ， 对 有 目标 主 
机 系统 进行 攻击 性 的 安全 漏洞 扫描 ， 如 测试 弱势 口令 等 ， 也 是 扫描 模块 的 实现 方法 之 一 。 如 果 模 
拟 攻 击 成 功 , 则 视 为 漏洞 存在 。 在 匹配 原理 上 , 该 网 络 漏洞 扫描 器 采用 的 是 基于 规则 的 匹配 技术 ， 
即 根据 安全 专家 对 网 络 系统 安全 漏洞 、 黑 客 攻 击 和 案例 的 分 析 和 系统 管理 员 关 于 网 络 系统 安全 配置 
的 实际 经 验 ， 形 成 一 套 标准 的 系统 漏洞 库 ， 然 后 再 在 此 基础 之 上 构成 相应 的 匹配 规则 ， 由 程序 目 
动 进行 系统 漏洞 扫 摘 的 分 析 工 作 。 所 谓 基于 规则 是 基于 一 僚 由 专家 根据 事先 定义 的 规则 的 匹配 系 
统 , 例如 , 在 对 TCP 80 端口 的 扫描 中 , 如果/cgi-bin/phf/cgi-bin/Count.cgi, 根据 专家 经 验 以 及 CGI 
程序 的 共享 性 和 标准 化 ， 可 以 推 知 该 WWW 服务 存在 两 个 CGI 漏洞 。 同 时 应 当 说 明 的 是 ， 基 于 
规则 的 匹配 系统 也 有 其 局 限 性 , 因为 作为 这 类 系统 的 基础 的 推理 规则 一 般 都 是 根据 已 知 的 安全 漏 
洞 进行 安排 和 策划 的 ， 而 对 网 络 系统 的 很 多 和 危险 的 威胁 是 来 目 未 知 的 安全 漏洞 ， 这 一 点 和 了 PC 2 
毒 很 相似 。 

基于 网 络 的 漏洞 扫描 费 通 常 由 以 下 几 个 方面 组 成 。 

a 漏洞 数据 库 模 块 。 漏 洞 数 据 库 包 含 了 各 种 操作 系统 的 各 种 漏洞 信息 ， 以 及 如 何 检测 漏 
洞 的 指令 。 由 于 新 的 漏洞 会 不 断 出 现 ， 访 数据库 需要 经 党 更 狐 ， 以 便 能 够 检测 到 新 发 
现 的 漏洞 。 

a 用户 配 置 控 制 台 模块 。 用 户 配置 控制 人 台 与 安全 管理 员 进 行 交 互 ， 用 来 设置 要 扫 摘 的 目 
标 系统 ， 以 及 扫 摘 哪些 漏洞 。 

a 扫描 引 敬 模块 。 扫 描 引 擎 是 扫描 器 的 主要 部 件 。 根 据 用 户 配 置 控制 台 部 分 的 相关 设置 ， 
扫描 引擎 组 闭 好 相应 的 数据 包 ， 发 送 到 目标 系统 ， 将 接收 到 的 目标 系统 的 应 答 数据 包 
与 漏洞 数据 库 中 的 漏洞 特征 进行 比较 ， 来 判断 所 选择 的 漏洞 是 否 存在 。 

a 当前 活动 的 扫 摘 知识 库 模 块 。 通 过 得 看 内 存 中 的 配置 信息 ， 访 模块 监控 当前 活动 的 扫描 ， 
将 要 扫 摘 的 漏洞 的 相关 信息 提供 给 扫描 引擎 ， 同 时 还 接收 扫描 引擎 返回 的 扫描 结果 。 
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a 结 采 存储 器 和 报告 生成 工具 。 报 告 生成 工具 利用 当前 活动 扫描 知识 库 中 存储 的 扫描 结 
东 ， 生 成 扫 摘 报告 。 扫 描 报 告 将 告诉 用 户 配 置 控 制 侣 设置 了 哪些 选项 ， 根 据 这 些 设 章 ， 
扫描 结束 后 ， 便 可 知 在 哪些 目标 系统 上 友 现 了 哪些 漏洞 。 

2. 基于 B/S 织 构 的 网 络 漏洞 扫 摘 器 


基于 浏览 右 / 服 务 喜 CB/SO 的 网 络 漏洞 扫 
摘 噩 的 结构 如 图 17-1 所 示 。 这 种 网 络 扫描 和 需 
的 工作 原理 是 : 当 用 户 通 过 控制 平台 发 出 了 扫 
HMS xn. Tim S Bd IH 
的 扫 摘 请 求 ,扫描 模块 在 接 到 请 求 之 后 立即 局 
动 相应 的 子 功能 模块 ， 对 被 扫描 主机 进行 扫 
摘 。 通 过 对 从 被 扫 摘 主机 返回 的 信息 进行 分 析 
判断 ， 扫 描 模 块 将 扫描 结果 返回 给 控制 平台 ， 
再 由 控制 平台 最 终 呈 现 给 用 户 。 图 17-1 基于 B/S 架构 的 网 络 漏洞 扫描 器 结构 












































3. 基于 C/S 架构 的 网 络 漏洞 扫描 器 


如 图 17-2 所 示 是 采用 插件 程序 结构 ， 客 户 / 服 务 器 模式 的 网 络 漏洞 扫描 器 。 插 件 是 由 脚本 语 
言 编写 的 子 程 序 , 扫描 程序 可 以 通过 调用 它 来 执行 漏洞 扫描 ,检测 出 系统 中 存在 的 一 个 或 多 个 源 
词 。 添 加 新 的 皇 件 束 可 以 使 漏洞 扫 摘 
软件 增加 新 的 功能 ， 扫 描 出 更 多 的 漏 
词 。 搬 件 编号 规范 化 后 ， 长 全 用 户 目 
己 都 可 以 用 Perl、C 或 自行 设计 的 脚 
本 语言 编写 的 插件 来 扩充 漏洞 扫描 软 
件 的 功能 。 这 种 技术 使 漏洞 扫 搬 软件 
的 升级 维护 变 得 相对 简单 ， 而 专用 脚 
本 语言 的 使 用 也 简化 了 编写 新 插件 的 
顷 程 工作 ， 使 漏 铜 扫描 软件 具有 强 的 
扩展 性 。 可 以 针对 革 一 具体 漏洞 ， 编 


写 对 应 的 外 部 测试 脚本 。 通 过 调用 服 
务 检测 插件 ， 检 测 目 标 主机 TCP/IP 


不 同 端口 的 服务 ， 并 将 结果 保存 在 一 图 17-2 基于 C/S 架构 的 网 络 涯 洞 扫 摘 器 结构 
言 忌 库 中 ,然后 调用 相应 的 插件 程序 ， 

问 远 程 主 机 发 送 构 造 好 的 数据 ， 并 将 检测 结果 也 保存 于 信息 库 ， 以 提供 给 其 他 的 脚本 运行 所 逢 的 
必要 信息 ， 这 样 可 提高 检测 效率 。 例 如 ， 在 针对 有 芭 FTP 服务 的 攻击 中 ， 可 以 首先 得 看 服务 检测 
插件 的 返回 结果 ， 只 有 在 人 确认 目标 主机 服务 器 开局 FTP 服务 时 ， 对 应 的 针对 某 FTP 服务 的 攻击 
脚本 才能 被 执行 。 采 用 这 种 插件 结构 的 扫 接 器 ， 可 以 让 任何 人 构造 目 己 的 攻击 测试 脚本 ， 而 不 用 
去 了 解 太 多 扫描 器 的 原理 。 这 种 扫描 器 也 可 以 用 作 模 拟 黑 客 攻 击 的 平台 。 采 用 这 种 结构 的 扫 捅 器 
具有 很 强 的 生命 力 ， 如 著名 的 Nessus 不是 采用 这 种 结构 ， 如 图 17-2 所 示 ， 其 中 客户 问 主 要 设置 
服务 器 病 的 扫 摘 参数， 及 收集 扫描 信息 。 上 基体 扫描 工作 由 服务 器 来 完成 。 
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17.3.4 ”快速 安装 Nessus 


1. Nessus 简介 


Nessus jé ^ JB s Xa T 6H B Ee tt duae ELS DC HS PIT EL RECSTDR D. KEH 
描 右 的 功能 是 对 指定 网 络 进行 安全 检查 , 找 出 该 网 络 是 人 否 存在 导致 对 手 攻 击 的 安全 漏洞 。 该 系统 被 
设计 为 Client/Sever 模式 ， 服 务 器 问 负 责 进行 安全 检查 ， 客 户 端 用 来 配置 管理 服务 器 端 。 在 服务 端 
还 采用 了 plug-in 的 体系 ， 人 允许 用 户 加 入 执行 特定 功能 的 插件 ， 这 些 插件 可 以 进行 更 快速 和 更 复杂 
的 安全 检查 。 在 Nessus 中 还 采用 了 一 个 共享 的 信息 接口 ， 称 之 知识 库 ， 其 中 保存 了 前 面 进 行 检查 
的 结果 。 检 查 的 结果 可 以 HTML、 纯 文本 、LaTeX 〔〈 一 种 文本 文件 格式 ) 等 几 种 格式 保存 。 

在 未 来 的 新 版 本 中 ，Nessus 将 会 文 持 更 快速 的 安全 检查 ， 而 且 这 种 检查 将 会 占用 更 少 的 市 
宽 ， 其 中 可 能 会 用 到 集群 的 技术 以 提高 系统 的 运行 效率 。 

Nessus 的 优点 如 下 。 

» ”Nessus 采用 了 基于 多 种 安全 漏洞 的 扫 抄 ， 避 免 了 扫描 不 完整 的 情况 。 

a — Nessus 是 免费 的 ， 比 起 商业 的 安全 扫 插 工具 如 ISS 具有 价格 优势 。 

a Nessus 坟 展 性 强 、 容 易 使 用 、 功 能 强大 ， 可 以 扫 摘 出 多 种 安全 漏 铜 。 

Nessus 的 安全 检查 完全 是 由 plug-ins 的 插件 完成 的 。 在 Nessus 主页 中 不 但 详细 介绍 了 各 种 
插件 的 功能 ， 还 提供 了 解决 问题 的 相关 方案 。 有 关 plug-in 的 详细 说 明 ， 请 奏 看 
http://cgi.nessus.org/plugins/dump.php3?viewby-family. 

除了 这 些 插件 外 ，Nessus LAHA TE T TRARJDGEZSU BALA Hio KET M EN 
试 ， 这 种 语言 称 为 Nessus 攻击 脚本 语言 (NSSL) ， 用 所 来 完成 插件 的 编写 。 

在 客户 蹦 ， 用 户 可 以 指定 运行 Nessus 服务 的 机 咽 、 使 用 的 症 口 扫描 大 及 测试 的 内 容 和 训 试 
的 IP 地 址 范围 。Nessus 本 号 是 工作 在 多 线程 基础 上 的 ， 所 以 用 户 还 可 以 设置 系统 同时 工作 的 线 
FERU IIFA Eim Ai Nessus 的 工作 配置 了 。 安 全 检测 完成 后 ， 服 务 尊 将 检 测 结果 
返回 到 客户 闹 ， 客 户 端 生成 直观 的 报告 。 在 这 个 过 程 当中 ， 由 于 服务 器 问 客 户 端 传送 的 内 容 是 系 
统 的 安全 弱点 ， 为 了 防 正 通信 内 容 受 到 监听 ， 其 传输 过 程 还 可 以 选择 加 密 。 


2. 安装 和 启动 Nessus 服务 器 端 










































































用 户 可 以 到 http://www.nessus.org/download.html 下 载 Nessus 服务 右 的 最 新 版 本 。 日 前 其 最 
狐 版 本 为 :Nessus-4.2.0-es5.i1386.rpmNessus， 使 用 以 下 命令 对 其 进行 安装 即 可 : 

[rootülocalhost tmp]£4 rpm -ivh Nessus-4.2.0-es5.1386.rpm 

Preparing... TESSSH4TdSTSEOSSHHSHEÓSTAXSSS4S4TTTTSSUHÓdTETSSTSTSTSSS [1005] 

1:Nessus TPETSSESSSSSXGSHSdTÓHITÓTSHSÓgTOTSSSHSÓHqTUSTERSS4S4S9 [1005] 

nescmedesuessus) ud quic ouo CERTI 


(CO 90902000 Tenab l e Network ecu Dx 


- Please run /opt/nessus//sbin/nessus-adduser to add a user 
- Register your Nessus scanner at http://www.nessus.org/register/ to obtain 


all the newest plugins 
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- You can start nessusd by typing /sbin/service nessusd start 
"CRI. L mAH RR EHETE E, WRU P: 
[root8localhost tmp]# /opt/nessus//sbin/nessus-adduser 


// 添 加 用 户 





Io creme cuo OE 

/ [VELA B 

Ito CRT Password 

Login password (again) 

DO you wank CNIS Goer to bena Necsus admin ee ean upload Pugno, ECE) 
S 

User rules 

nessusdohas a rules Svoren varch al lows youl Eo restrict she hosts 

that root has rhe teht OES. EODEM Moy Wane 


Pime con peran lene ome ON NOSE ll 


Please see the nessus-adduser manual for the rules syntax 


Eee 


(the user can have an empty rules set) 


Login :1 qu 

Password 。 大 大 大火 火炎 火炎 火炎 大 

This user will have 'admin' privileges within the Nessus server 
Rules 

Terr hat onse e: pag c NEST I Sr 

// 洪 加 成 功 

Jest anien 


启动 Nessus 非常 简单 ， 使 用 如 下 命令 即 可 : 


/SolIN/Servlice nessuso Start 





3. 安装 Nessus 客户 端 


Nessus 的 客户 端 有 了 两 个 版 本 : Java 版 本 及 C 版 本 ，Java 版 本 可 以 在 多 个 平台 中 运行 ，C 版 
本 的 文 持 Windows。 有 了 这 两 个 客户 端的 版 本 束 可 以 在 局 域 网 的 任何 一 台 机 占 上 进行 安全 检查 
了 。 为 了 使 用 的 简单 性 ， 选 择 了 一 短 Windows 系统 下 的 Nessus 4 客户 端 版 本 进行 安装 和 使 用 ， 
也 束 是 使 用 Windows 客户 端 来 控制 运行 于 Linux 下 的 Nessus 服务 器 端 来 对 局 域 网 中 的 机 器 进行 
Judi. idi H AY Nessus 非常 流行 的 一 种 使 用 方式 。 具 体 的 安装 如 同 Windows 下 任何 一 计 
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应 用 软件 的 安装 方式 ， 非 常 简 单 ， 这 里 不 再 袭 述 。 
17.3.5 ”使 用 Nessus 扫描 





下 和 面 来 看 看 使 用 Nessus 进行 扫描 的 步 又 以 及 效果 。 通 党 使 用 Nessus 进行 扫 摘 需要 以 下 几 个 
步 又。 

C 设置 服务 器 连接 。 首 移 需 要 议 置 Nessus 客户 疹 来 连接 Nessus 服务 费 ， 也 就 是 在 上 一 小 
节 中 安 状 的 服务 器 。 在 图 17-3 中 ， 配 置 好 相应 的 主机 名 和 尊 口 ， 以 及 登录 所 需要 使 用 的 用 户 名 
和 密码 。 

(2) 设置 IP 范围。 如 图 17-4 所 示 ， 设 置 为 IP Range。 当 然 ， 这 里 还 有 其 他 的 选项 可 提供 选 
择 ， 包 括 Single Host、Subnet 等 ， 可 以 根据 实际 情况 来 选择 。 


Edit Target 

















Scan: 

O Single host 
($) IP Range 

$$. Subnet 

O Hosts in file 





Most name: 





Edit Connection 








Start Address: |172.31.12.1 


Connection name: New connection 














End address: 172. 31. 12. 254] 








Noxt nese: 172.32. 1.187 











Port: |1241 


























Login: root 

















Password: 606060000 0| 











图 17-3 设置 服务 器 连接 图 17-4 ix IP 范围 
(3) 单 击 scan now 按钮 ， 开 始 对 设 定 范 围 进 行 扫 摘 ， 如 图 17-5 Br. 




















图 17-5 ”开始 扫描 
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(4) 扫描 的 整体 效 末 。 
5.0 版 本 ) KIJ 


系统 ， RHEL 


21 


如 图 17-6 所 示 ， 扫 描 给 出 了 对 172.31.12.188 这 台 主 机 (Linux 操作 
埋 果 ， 可 以 很 清晰 地 看 出 操作 系统 的 版 本 以 及 开放 的 端口 ， 同 时 ， 


也 能 够 将 开放 的 病 口 的 详细 信息 列 出 来 。 


Nessus : Untitled 


File Help 


回回 








Scan Report 





Report: 





v Delete 


(09/12/21 10:38:37 PM - New policy 











G-172.31.12.1 
general/tcp 
http-alt (8080/tcp) 
http (80/tcp) 
hosts2-ns (81/tcp) 
telnet (23/tcp) 

E- 172.31. 12. 14 
general/tcp 
ntp (123/udp) 
epmap (135/tcp) 
microsoft-ds (445/tcp) 
unknown (31038/tcp) 
unknown (5060/tcp) 
ssc-agent (29BT/tcp) 
nessus (1241/tcp) 
netbios-ssn (139/tcp) 
netbi os-ns (137/udp) 


gener Avr icmp 
general/tcp 
general/udp 

sunrpe (lil/tep) 
sunrpc (lll/udp) 

http (80/tcp) 

ssh (22/tcp) 

ftp (21/tcp) 
netbios-ns (13T/udp) 
microsoft-ds (445/tcp) 
unknown (85T/tcp) 
mdns (5353/udp) 
unknown (854/udp) 
pcesync-chttps (8443/.-. 
netbios-ssn (139/tcp) 











https (443/tcp) 


172. 31. 12. 188 


Scan time : 


Mon Dec 21 22:40:45 2008 
Mon Dec 21 22:43:25 2008 


Start time : 
End time : 


Humber of vulnerabilities : 


Üpen ports : 13 
Low : 5T 
Medium : B 
High : 1 


Information about the remote host : 


Linux Kernel 2.8 on Red Hat Enterprise Linux 5 
LOCALHOST 
localhost. 


Operating system : 
NetBIOS name : 
DNS name : 











Filter. 








Stylesheet: Sort By CVE | View template.. 











Disconnect 


mE js 


eñ Scan paused... 


图 17-6 扫 拉 的 整体 结果 














(5) 查看 具体 的 漏洞 信息 。 如 果 想 查 
以 单 击 图 17-7 所 示 中 的 对 应 开放 端 


补 等 操作 。 


Nessus : Untitled 











看 具体 的 漏洞 信息 报告 以 及 漏洞 等 级 等 详细 信息 时 ， 可 








File Help 





Scan | Report 





Report: 





(09/12/21 10:38:37 PM - New policy 


Sj [aa 








(2-112. 31. 12.1 
general/tcp 
http-alt (8080/tcp) 
http (B80/tcp) 
hosts2-ns (Bl/tcp) 
telnet (23/tcp) 
-172.31.12.14 
general/tcp 
ntp (123/udp) 
epmap (135/tcp) 
microsoft-ds (445/tcp) 
unknown (31038/tcp) 
unknown (B0860/tcp) 
ssc-agent (296T/tcp) 
nessus (1241/tcp) 
netbios-ssn (139/tcp) 
netbios-ns (13T/udp) 
172. 31. 12. 188 
general/icmp 
general/tcp 
gener al/udp 
sunrpc [lll/tep) 
sunrpc (lll/udp) 
http (80/tcp) 
ssh (22/tep) 
ftp (21/tcp) 
netbios-ns (13T/udp) 
microsoft-ds (445/tcp) 
unknown (85T/tcp) 
mdns (5353/udp) 
unknown (854/udp) 
pesync-https (8443/--- 
netbios-ssn (139/tcp) 
https (443/tcp) 


日 








DES Detection 


Synopsis : 

It is possible to obtain information about the remote host. 
Description : 

The remote service understands the Bonjour (also known as ZeroConf or 
mDNS) protocol, which allows anyone to uncover information from the 
remote host such as its operating system type and exact version, its 
hostname, and the list of services it is running. 

Solution : 

Filter incoming traffic to UDP port 5353 if desired. 


Risk factor : 


Medium / CYSS Base Score : 5.0 
(CVSS23tÀV: N/ AC: L/Àu: NIC: P/I: N/A: NH) 


Plugin output : 

Nessus was able to extract the following information : 
localhost.local. 

00:0c:29:48:1T:c2 


IB88 
LINUX 


- Computer name : 
- Ethernet addr : 
- Computer Type : 
7 Üperating System : 


Nessus ID : 12218 











Filter.. 





Sort By CVE 





View template.. 


Stylesheet: 











Disconnect 
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7" Scan paused... 


[ onm er 


图 17-7 ”具体 的 漏洞 信息 


口 信息 ， 并 针对 具体 信息 采取 相应 的 措施 来 对 该 漏洞 进行 修 








“ 工 欲 善 其 事 ， 必 先 利 其 器 .” 这 向 名 言 出 自 《 论 语 》。 和 孔子 告诉 子 贡 ， 一 个 做 手工 或 工 
艺 的 人 ， 要 想 把 工作 完成 ， 并 做 得 完善 ， 应 该 先 把 工具 准备 好 。. 

在 企业 Linux 安全 运 维 工 作 中 ， 其 实 有 很 多 捷径 。 这 包括 掌握 一 些 核心 的 理念 、 框 架 和 
方法 ， 以 及 充分 地 利用 现 有 的 开源 工具 、 命 令 ， 来 只 活 、 方 便 、 高 效 地 进行 运 维 工作 ， 这 样 
就 能 提高 工作 效率 。 
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终极 挑战 : 企业 Linux 内 核 构 建 


H 


本 草 导 读 


500 强 企业 在 企业 级 Linux 应 用 过 程 中 
的 一 个 非常 典型 和 重要 的 操作 就 是 进行 
Linux 内 核 重 构 , 也 就 是 根据 实际 的 应 用 需求 
进行 内 核定 制 、 裁 前 等 工作 ， 这 是 一 个 非常 
具有 挑战 性 和 专业 性 的 工作 ， 也 可 以 称 为 一 
种 “终极 挑战 ”， 当 前 众多 的 大 型 企业 都 有 
自己 的 Linux 平台 工程 师 和 专业 人 员 来 进行 
ERI. 

基于 此 原因 ， 本 章 将 对 企业 级 Linux 内 
核 配 置 、 编 译 、 安 装 等 细节 性 的 问题 进行 详 
细 介 绍 。 


防线 
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ETE 企业 级 Linux 内 核 简介 


安装 企业 级 Linux 之 后 ， 需 要 重新 配置 并 建立 新 的 Linux 内 核 。 企业 级 Linux A T AFN 
置 的 内 核 ， 人 简化 了 安 冯 过 程 。 然 而 这 个 内 核 可 能 无 法 正确 配置 所 有 的 系统 功能 。 因 此 可 能 需要 通 
过 配置 和 构建 新 内 核 来 创建 一 个 针对 系统 及 其 特定 需求 的 定制 内 核 . 定制 内 核 通 党 比 一 般 内 核 要 
小 。 但 是 ， 编 详 和 维护 定制 的 内 核 需 要 大 量 的 时 间 和 工作 。 

有 时 候 ， 并 不 需要 构建 独 内 核 ， 只 是 需要 动态 改变 已 安装 内 核 的 许多 方面 。 有 两 种 方式 可 以 
完成 相关 改变 : 一 是 可 使 用 局 动 命令 加 上 特定 参数 ， 二 是 修改 /etc/sysctl.conf 文件 。 当 系统 引导 
时 ，sysctl 命令 会 谈 取 此 文件 。 

也 可 以 将 引导 命令 行使 用 的 相同 参数 添加 到 /bootgrub/grub.conf 或 其 符 写 链接 /etc/grub.conf 
中 。 例 如 ，acpi=o 任 可 禁止 局 动 acpid (高 级 配置 和 电源 接口 守护 进程 。 

系统 运行 时 ，sysctl 工具 可 以 修改 内 核 参 数 。 此 实用 工具 利用 了 /proc/sys 设施 ， 它 用 于 定义 
sysctl 可 以 修改 的 参数 。 

执行 sysctl -a 命令 会 显示 一 个 完整 的 sysctl 参数 清单 。 下 面 给 出 了 显示 和 和 更改 domainname 
内 核 参数 的 例子 。 这 个 例子 中 不 需要 双 引 号 ， 但 必须 引用 任何 字符 ， 否 则 会 被 shell fR. 
改变 参数 时 ， 必 须 具 有 root 权限 。 


#sysctlkernel.domainname 






































kernel.domainname - tcorp.com 


$ su -c 'sysctl -w kernel.domainname-"example.com" ' 

kernel.domainname = example.com 

$ sysctlkernel.domainname 

kernel.domainname = example.com 

当 构建 新 内 核 时 ， 手 边 需 要 第 一 张 安装 光盘 或 DVD。 

当 构 建新 Linux 内 核 来 安装 新 版 本 或 更 改 现 有 版 本 的 配置 时 , 确保 手边 有 第 一 张 安装 光盘 或 
DVD. 这 样 即使 完全 破坏 了 系统 软件 ， 上 述 磁盘 也 可 以 让 你 重新 局 动 系统 。 有 无 可 用 的 CD/DVD 
意味 看 眉 乱 一 阵 和 完全 骨 澳 之 间 的 差异 。 

在 可 以 开始 构建 新 内 核 之 前 ， 必 须 下 载 、 安 装 和 预备 源 代码 。 此 外 ， 还 需要 建立 一 个 配置 文 
件 ， 插 述 想 要 建立 的 新 内 核 。 本 革 将 介绍 完成 这 些 任务 所 需要 的 步 又 。 


























ETE vi. munus nomeu 


本 介绍 如 何 下 载 内 核 源 代码 到 本 地 系统 上 上。 如果 要 下 载 企业 级 Linux 尚未 定制 (补丁 ) 的 
代码 ， 请 访问 kernel.org /pub。 它 还 包括 预备 和 安装 内 核 源 代码 。 在 完成 下 载 、 安 装 、 预 备 内 核 
源 代 人 之后 ， 需 要 配置 和 编 详 Linux 内 核 。 
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18.2.1 先决 条 件 
安装 如 下 软件 包 : 


=  rpmdevtools 

» — yum-utils C EBERT ZR Zi RR) 

= ”ncurses-devel (使 用 make menuconfig 配置 内 核 ) 

=  libglade2-devel 〈 使 用 make gconfig 配置 内 核 ) 

值得 注意 的 是 : 编译 内 核 需 要 大 量 做 盘 空 间 。 在 编译 内 核 之 机， 确保 有 足够 的 磁盘 空间 。 编 
译 一 个 默认 内 核 大 约 需 要 3.5GB 空间 。 在 要 编译 内 核 的 文件 系统 上 ， 必 须 有 足够 的 磁盘 衬 间 。 


18.2.2 下 载 源 代码 


在 下 载 所 需 的 软件 包 之 后 ， 会 运行 rpmdev-setuptree。 此 实用 程序 设置 了 一 个 SRPM 构建 环 
境 ， 包 括 主 目录 下 的 rpmbuild 目录 层次 结构 : 


$5 rpmdev-setuptree 




















Easton oup db! 

BUILD RPMS SOURCES SPECS SRPMS 

编 详 内 核 后 ，rpmdev-setuptree 创建 的 $ 个 目录 包含 如 下 文件 ， BUILD 中 拥有 编译 内 核 的 结 
R, RPMS 中 拥有 编译 的 RPM 文件 ，SOURCES 中 拥有 源 代 码 和 补丁 文件 ，SPECS 中 拥有 内 核 
的 规范 文件 ，SRPMS 中 如 采 有 的 话 ， 则 是 源 RPM 文件 。 

除了 安 疙 软件 包 和 安装 内 核 〈 最 后 一 步 ) 外 ， 不 需要 也 不 应 该 使 用 root 权限 来 配置 或 构建 
内 核 。 内 核 的 README 文件 指出 : “不 要 过 大 使 用 root。” 

当 必 须 使 用 root 权限 时 ， 可 使 用 su-e 构建 、 定 制 和 安装 内 核 部 分 。 当 并 不 想 使 用 root 权限 
时 ， 这 种 做 法 也 有 助 于 防止 使 用 root 权限 。 它 还 提供 了 一 个 更 好 的 记录 ， 用 于 审 簿 shell 历史 中 
出 现 的 问题 。 

要 为 RHEL 内 核 下 载 源 代码 , 可 在 浏览 器 或 FTP 客户 端 中 输入 ftp://ftp.redhat.com/pub/redhat/ 
linux/enterprise， 并 选择 想 要 的 RHEL 版 本 ,通过 链接 直接 进入 SRPMS 目录 。 对 于 RHEL 6 的 服 
务 占 内 核 ， 可 进入 : 

ftp://ftp.redhat.com/pub/redhat/linux/enterprise/6Server/en/os/SRPMS 

从 SRPMS 页 面 搜索 或 问 下 滚动 ， 直 到 找到 kernel*src.rpm 文件 。 这 时 可 以 单 击 和 下 载 内 核 
JANI RPM 文件 ,通常 情况 下 ,要 下 载 最 狐 版 本 ,这 将 有 一 个 与 kernel-2.6.32-71.18.1.el6.src.rpm 
Ap EIER. sre. 表明 软件 包 包 含 的 源 文件 。 为 外 ， 如 来 有 Red Hat 网 络 账户 ， 可 以 从 
rhn.redhat.com 下 载 内 核 源 代码 RPM 文件 。 

本 而 例 子 中 所 示 的 Sam， 其 主 目录 是 /home/sam (~sam) ， 使 用 kernel-2.6.35.11-83.fc14 内 核 。 
构建 内 核 时 ， 你 可 能 工作 在 主 目录 中 ， 使 用 的 内 核 名 称 也 可 能 不 同 于 Sam 的 内 核 名 称 。 此 时 只 
要 遵循 例子 进行 必要 的 奉 换 惑 可 以 了 。 


18.2.3 ”安装 源 代 三 


当 内 核 源 代码 RPM 包 文 件 位 于 主 目录 时 ， 运 行 yumbuilddep 可 下 载 和 安 厂 需要 构建 源 代 码 
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包 ( 依 赖 ) 的 软件 包 。 因 为 使 用 安装 包 ， 所 以 必须 具有 root 权限 。 在 下 面 的 例子 可 使 用 用 户 名 和 
正在 使 用 的 内 核 名 称 替 换 sam 和 2.6.35.11-83.fc14， 来 指定 RPM 文件 在 系统 中 的 位 置 。 


0 
password: 

koaded plugins: lanogpacks, presto. refresh Packigekit 
e ee debes 


外 
Insbtalbt 29 Peckagew(s) 

Ioas ecoute dd ccu MIN 

Trotadhedosszoc M 


ee le 


Complete! 


最 后 ， 以 非特 权 用 户 角 色 在 主 目录 中 工作 时 ， 可 使 用 RPM 在 主 目录 下 的 rpmbuild 目录 中 安 








AES EINE 


人 
l:kernel warning: user mockbuild does not exist - using root 
WE 证 Geo GATTO GC: [boum cle cto SEIN OT ee a roO 


warning: user mockbuild does not exist - using root 


L: kernel iHHHHHHBHEHHHERHHHEEHHEHHHHBHHRHHBEHHHRBEHRHHHHHHHHE [100%] 
用 户 可 以 忽略 上 述 错误 ， 它 们 部 是 一 些 关 于 不 存在 的 组 和 用 户 的 错误 。 


18.2.4 ”预备 源 代码 





可 以 运行 程序 前 的 最 后 一 步 是 预备 源 代 但 。 了 预备 过 程 会 解 开 压缩 文件 和 适用 的 补丁 。 下 面 使 


用 rpmbuild—bp 命令 预备 源 代码 : 


$5 cd /home/sam/rpmbuild/SPECS 
ET 

Burldinog target plar rm IOLO 

Building Torn Laroo rk 1026 

Executung(eprep)ec I /nM ro Mme Ke 
Tamas kOe 


* cd /home/sam/rpmbuild/BUILD 
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如 果 rpmbuild 找 不 到 它 需 要 预备 代码 的 包 ， 会 显示 如 下 消 县 : 

error: Failed build dependencies: 

ette tao I metrcecedeovekerdietbe2eov 2» ee le oE 

zlib-devel is needed by kernel-2.6.32-71.18.1.e616.1086 

me Me devel nans CC by kernel 2 cq socio. «OD 

在 这 种 情况 下 ， 安 装 所 需 的 软件 包 《〈 可 能 需要 安装 与 例子 中 不 同 的 包 ): 

C cem ce Vw aberencedLl cubiwbs d s-13]98J E -cocewelzls-ecwelosumcat lt s-oewed 

安装 软件 包 后 ， 再 次 使 用 前 面 的 rpmbuild 命令 。 在 本 地 系统 上 安装 和 预备 好 内 核 源 代码 后 ， 
W AMA mAAR E. 

















ETE 源 代码 配置 和 编译 Linux Pr 


按 上 市 所 述 安装 和 预备 源 代码 后 ，Sam 的 源 代 人 码 在 /home/sam/rpmbuild/BUILD/kernel-2.6.38 
fc15/linux-2.6.38.1686 目录 , 其 内 核 规 范文 件 在 /home/sam/rpmbuild/SPECS。 程序 源 代码 将 在 具有 类 
似 名 称 的 目录 (~/rpmbuild/BUILD/kernel*/linux*)〉 ， 而 内 核 规 范文 件 则 在 ~/rpmbuild/SPECS 目录 。 

本 节 的 大 部 分 工作 是 在 源 代 码 所 在 的 目录 (linux* ) 中 做 的 。 在 SPECS 目录 中 标记 和 安装 内 核 。 


18.3.4 标记 内 核 


为 了 防止 覆 兰 现 有 的 内 核 文 件 ， 并 确定 内 核 的 各 种 汇编 版 本 ， 可 以 改变 kernel.spec 文件 中 
的 buildid 变量 ， 这 个 变量 的 初始 值 为 .local。 无 论 给 这 个 变量 赋 什 么 值 都 需要 将 其 放置 在 内 核 
名 称 和 发 行 号 的 末尾 ， 以 便 确 定 内 核 。 可 以 此 字符 串 中 应 用 到 内 核 的 补丁 标记 来 帮助 人 们 退 答 
发 生 的 问题 。 使 用 cd 可 把 目录 切换 到 ~/rpmbuild/SPECS， 此 时 编辑 kernelspec， 并 改变 行 中 的 
local 即 可 : 

$$ define buildid .local 

要 标识 正在 构建 的 内 核 值 ， 还 必须 删除 前 寻 哈 布 标记 《〈#) 、 哈 布 标 记 后 面 的 空格 以 及 % 和 
define 之 间 的 空格 : 

$define buildid .sam1104181000 


18.3.2 .config: 配置 内 核 


在 编译 代码 并 创建 Linux 内 核 之 前 ， 必 须 做 出 决定 ， 并 指定 想 要 的 内 核 文 持 哪些 功能 。 可 以 
按 以 下 两 种 方式 之 一 来 配置 内 核 文 持 大 多 数 功 能 : 把 该 功能 构建 到 内 核 中 或 指定 该 功能 作为 可 加 
载 的 内 核 模 块 。 在 决定 采用 方法 之 前 ， 必 须 权 衡 内 核 的 大 小 ， 以 及 加 载 模块 所 花费 的 时 间 。 要 使 
内 核 尽 可 能 小 ， 同 时 又 最 大 限度 地 减少 模块 的 加 载 时 间 。 

—Irpmbuild/BUILD/kernel*/linux* 目录 中 的 .config 文件 控制 新 内 核 支持 哪些 特性 , 以 及 如 何 支 
持 。 下 一 节 提 供 了 取代 现 有 自 定 义 内 核 的 指令 。“ 自 定义 内 核 ” 介 绍 了 当 .config 文件 不 存在 时 如 
何 创建 它 的 默认 版 本 ， 以 及 当 它 存在 时 如 何 进行 编辑 。 

如 果 已 经 配置 了 一 个 定制 的 内 核 ， 可 能 需要 用 类 似 配 置 〈 新 内 核 ) 来 伏 换 它 。 每 个 内 核 都 可 
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能 有 新 的 配置 选项 , 这 也 说 明 为 什么 使 用 旧 的 .config 文件 编译 新 内 核 是 不 好 的 做 法 。 本 节 将 介绍 
如 何 升级 现 有 的 .config 文件 ， 所 以 该 文件 中 将 包含 新 内 核 的 独 选 项 ， 并 保持 旧 选 项 的 现 有 配置 。 

上 述 工 作 可 在 ~/rpmbuild/BUILD/kernel*/linux* 目 录 下 完成 。 系 统 为 运行 在 /boot 下 的 本 地 系 
统 内 核 保存 了 配置 文件 的 副本 。 下 和 面 的 命令 将 会 把 此 文件 复制 到 工作 目录 中 的 .config: 

$ pwd 

/hiome/sam/rpmbuild/BUILD/kernel-2.6.38.fcl5/linux-2.6.38.1686 





Lac I$ooLt SONED (le G OT 

在 此 命令 中 ，shell 执行 uname -r FEHMER, LA Ud Cuname 2) ， 这 
也 是 在 本 地 系统 上 运行 内 核发 行 版 的 名 称 。 

接 下 来 使 用 命令 make oldconfig 加 狐 内 核 选 项 可 修补 .config 文件 , 这 些 选 项 在 旧 内 核 中 并 不 
存在 。 该 命令 显示 了 每 个 内 核 选 项 在 新 、 旧 内 核 中 是 相同 的 ， 并 以 旧 内 核 同 样 的 设置 方式 目 动 设 
置 新 内 核 选项 的 状态 。 当 发 现 一 个 选项 只 出 现在 狐 内 核 中 , 而 不 在 旧 内 核 中 时 , 该 命令 吏 会 停止， 
然后 会 显示 类 似 [N/y?] (NEW) 的 提示 ， 同 时 显示 可 能 的 啊 应 ， 并 表明 此 选项 是 新 的 。 提 示 符 显 
示 大 与 字母 的 默认 啊 应 ， 可 以 输入 此 字母 〈 大 与 或 小 写 ) ， 然 后 按 回 车 键 ， 或 上 只 按 回 千 键 来 啊 应 。 
在 这 个 例子 中 ，Tickless 系统 选项 是 新 的 ， 且 默认 啊 应 是 Y， 包 括 新 内 核 的 选项 。 要 选择 一 个 非 
默认 响应 On 表示 no， 不 包括 选项 ，m 意味 看 包括 作为 模块 的 选项 ) ， 必 须 输入 该 字母 ， 然 后 按 
加 车 键 。 输 入 “?” 然 后 按 回 车 键 来 显示 有 关 选 项 的 更 多 信息 。 


S make oce oq 





























Sor peo KOON COn old COn IE i 


大 


有 
* 
* 


* Code maturity level options 


* 


Prompt for development and/or incomplete code/drivers (EXPERIMENTAL) [Y/n/?] y 


* 


* General setup 


* 


Local version - append to kernel release (LOCALVERSION) [] 


Ome le le el el sr Su i CT sd Ne oun VES STONEA O) 
EDI CET 


* 


* Processor type and features 


* 
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OE Ti nl a ede om el 
only trigger on an as-needed basis both when the system is 


busy and when the system is idle. 


站 
站 
SA 0 ee le 0 0 le 

Ll ee te sie 

> om nl OON 


2 ee TEBAN) 


# 
ee elon le esl oie 


# 
18.3.3 ”定制 内 核 


~/rpmbuild/BUILD/kernel*/linux* 目录 和 configs 子 目 录 为 各 种 处 理 器 、 多 处 理 器 和 配置 提供 
示例 配置 文件 。 在 开始 之 前 你 可 能 想 看 看 这 些 文件 ， 或 使 用 其 中 之 一 作为 模板 。 要 使 用 这 些 文件 
之 一 ， 将 它 复 制 到 .config。 

可 以 使 用 三 个 标准 命令 之 一 ， 建 立 配 置 Linux 内 核 的 .config 文件 : 


$5 make config 














> make menuconfig 

Somedecqeontiqer 

下 面 需要 为 所 需 的 软件 包 列 表 运 行 所 有 这 些 命 令 ， 而 不 是 这 些 命令 中 的 第 一 个 。 

"ll. config 文件 不 在 工作 目录 中 , 这 些 命令 将 首先 创建 与 本 地 系统 运行 内 核 相 匹配 的 .config 
文件 ， 然 后 修改 该 配置 。 只 有 本 地 运行 内 核 的 配置 文件 位 于 /boot/config-$ Cuname -r) 中 ， 访 命 
令 才 可 以 设置 这 个 .config 文件 。 如 末 想 使 用 与 现 有 内 核 关 似 的 配置 ， 需 要 建立 一 个 新 的 内 核 ， 相 
天 内 容 请 参阅 前 一 广 。 

make config 命令 是 三 个 命令 中 最 简单 的 一 个 ， 它 使 用 文本 接口 ， 且 不 需要 额外 的 软件 。 相 
对 来 说 ， 使 用 配置 界面 是 最 难 的 。make menuconfig 命令 使 用 伪 图 形 界面 ， 同 时 还 显示 文本 界面 。 
make gconfig 命令 使 用 GTK + (www.gtk.org) ， 并 显示 图 形 界面 。 

每 个 命令 都 会 提出 相同 问题 ,产生 相同 结 末 ， 并 给 予 相同 答复 。 第 一 个 和 第 二 个 命令 工作 在 
基于 字符 的 环境 下 ， 第 三 个 命令 则 工作 在 图 形 环境 下 。 对 于 使 用 GUI 工作 的 很 多 管理 员 来 说 ， 
第 三 种 方法 是 最 容 多 使 用 的 。 

make gconfig 命令 显示 了 Linux 内 核 配 置 窗 口 ， 可 以 查看 三 种 配置 单一 的 、 分 割 的 或 完整 
的 视 网 。 通 过 单 击 工具 栏 中 save《〈 傈 存 ) 图 标 右 侧 的 三 个 图 标 之 一 可 以 选择 视图 。 图 18-1 显示 
了 分 荐 视图 。 在 这 种 视图 中 ， 左 框 染 显示 选项 ， 右 上 和 角 列 出 了 每 个 选项 的 功能 。 右 下 角 的 视图 摘 
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述 突出 显示 的 选项 或 功能 。 图 18-2 则 显示 了 完整 视图 。 















































































































































E Linux Kernel v2.6.18-194.el5 Configuration IIESX LI Linux Kernel! v2.6.18-194.el5 Configuration IZIESX 
File Options Help File Options Help 
Ø ou | || E = 中 =- 9 cC uu | || E = P 
Load Save Single Split Full Collapse Expand Back Load Save Single Split Full Collapse Expand 
Options —] Options Options Name IA 
Code maturity level options | | [7] Anticipatory I/O scheduler (NEW) Local version - append to kernel release (NEW) LOCALVERSION | 
" General setup || 4| Deadline MD scheduler (NEW) Automatically append version information to the version string (NEW) LOCALVERSION AUTO 
Configure standard kernel features (fc 4| CFQ I/O scheduler (NEW) Support for paging of anonymous memory (swap) (NEW) SWAP 
Loadable module support v Default /MD scheduler (NEW) y| System V IPC (NEW) SYSVIPC 
Process debugging support O Anticipatory (NEW) [7 POSIX Message Queues (NEW) POSIX MQUEUE 
V Block layer O Deadline (NEW) V M| BSD Process Accounting (NEW) BSD PROCESS ACCT |f] 
BSD Process Accounting version 3 file format (NEW) BSD PROCESS ACCT | 
Processor type and features O No-op (NEW) v M Export task/process statistics through netlink (EXPERIMENTAL) (NEW) TASKSTATS 
vV Power management options 4| Enable per-task delay accounting (EXPERIMENTAL) (NEW) TASK DELAY ACCT 
ACPI (Advanced Configuration and Powel y| Enable per-task storage MO accounting (EXPERIMENTAL) (NEW) TASK IO ACCOUNTING 
CPU Frequency scaling " M Auditing support (NEW) AUDIT IB 
"7 Bus options (PCI etc.) K e n (d [|») 
PCCARD (PCMCIA/CardBus) support CFQ DEFAULT_CFQ Support for paging of anonymous memory (swap) SWAP 
PCI Hotplug Support = Sorry, no help available for this option yet. This option allows you to choose whether you want to have support f 
(I | [») for so called swap devices or swap files in your kernel that are E 


























图 18-1 Linux 内 核 配置 窗口 ， 分 割 视 疼 图 18-2 Linux 内 核 配 置 窗口 ， 完 整 视 图 

ERARE AMEN M, YM Value 四 列 。 如 时 未 使 用 那 行 的 功能 ，N 出 现在 N 列 。 
M 列 中 的 M 意味 看 该 功能 是 作为 一 个 模块 包含 的 。Y 列 中 的 Y 意味 看 该 功能 被 编译 在 内 核 中 。 
下 划 线 在 这 些 列 的 任何 地 方 ， 蕊 味 看 出 现在 该 列 的 值 是 有 效 的 功能 例如， 下划线 在 M 表示 该 
功能 可 以 作为 一 个 模块 包含 其 中 , 虽然 它 现 在 还 没有 包含 进去 )。Value 列 中 包含 该 功能 的 值 CN、 
M 或 Y) 。 

在 任何 视 多 中， 都 可 以 双击 功能 劳 边 的 复 选 枉 和 单 选 按钮 ,选择 或 取消 访 功 能 。 一 个 空 的 复 
选 枉 、 单 选 按钮 表示 该 功能 被 荣 用 ， 打 钩 表示 它 将 被 编译 进 内 核 ， 减 号 意味 独 它 被 编译 成 一 个 模 
块 。 突 出 显示 一 个 选择 后 ， 也 可 以 按 M 代表 模块 ，N 代表 不 包括 以 及 YY 代表 编译 进 内 核 。 选 择 
Options 一 Show All Options 荣 音 命令， 以 显示 所 有 选项 和 功能 。 

下 面 介 绍 检查 选项 并 标记 想 要 配置 进 新 内 核 的 功能 。 在 配置 过 程 的 任何 时 间 都 可 以 把 当前 定 
义 的 配置 存储 到 一 个 文件 中 ， 从 文件 加 载 配置 ， 保 存 更 改 退 出 或 不 体 存 更 改 退 出 。 操 作 选 项 位 于 
荣 单 栏 的 File 中 。 完 成 后 ， 选 择 File 一 Save 菜单 命令 并 关闭 窗口 。 


18.3.4 清理 源 代 码 树 


在 生成 .config 文件 乙 后 ， 编 详 或 重新 编 详 内 核 乙 前 , 可 使 用 以 下 命令 消除 所 有 潜在 的 陈旧 的 
* o 文件 的 源 代码 树 : 


S make clean 












































CLEAN arch/x86/boot/compressed 

CLEAN arch/x86/boot 

CLEAN PISOS em e| ouo DE I BPUTLD/ kerne l= 6s ons o cC de ou Ine 29 o O9 1626 
CLEAN arch/x86/kernel/acpi/realmode 


CLEAN arch/x86/kernel/cpu 


CLEAN Documentation/watchdog/src 
Cna EM OnS 
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当 编译 内 核 时 ， 此 命令 确保 正确 应 用 所 使 用 的 任何 编号 方案 。 
18.3.5 ”复制 配置 文件 

在 编 详 内 核 之 前 , 必须 把 要 使 用 的 .config 文件 复制 到 用 于 编译 内 核 的 目录 , 这 个 文件 必须 有 
一 个 与 本 地 系统 上 使 用 内 核对 应 的 名 称 ， 例 如 ，config-i686-generic: 


ee 


18.3.6 ”编译 内 核 映 像 文 件 和 可 加 载 模块 

接 下 来 的 命令 将 编译 内 核 和 模块 。 编译 内 核 可 能 十 要 儿 个 小 时 以 上 , 实际 取决 于 所 用 系统 的 
性 能 。 

$ pwd 

/home/sam/rpmbuild/SPECS 

















Te 

RO no Eo le me GG 

Biolelnno or eardet eee 

Executing($prep): /bin/sh e /var/tmp/rpm-tmp.JoAIFx 
sc iBlinisu ese 1027 


* cd /home/sam/rpmbuild/BUILD 


Wrote: /home/sam/rpmbuild/RPMS/i686/kernel-debug-devel-2.6.38.2-9.saml 
EC EGO OI PI IM 

Wrote: /home/sam/rpmbuild/RPMS/i686/kernel-debug-debuginfo-2.6.38.2-9.s 
I eo 

Executing($clean): /bin/sh -e /var/tmp/rpm-tmp.gZcEvK 

dO Uer 02 

* cd /home/sam/rpmbuild/BUILD 

Ch eo le 

OO 
人 


t exit 0 


18.3.7 使 用 可 加 载 内 核 模 块 


可 加 载 内 核 模块 (有 时 也 被 称 为 模块 或 可 加 载 模 块 ) 十 一 个 对 象 文件 (内核 的 一 部 分 ) ， 它 
征 在 运行 时 被 链接 到 内 核 的 。 几 乎 在 任何 时 间 ， 都 可 以 从 正在 运行 的 内 核 中 插入 或 删除 模块 〈 正 
在 使 用 的 模块 除外 ， 。 这 种 能 力 使 内 核 具有 有 灵活 性 ， 也 使 得 内 核 在 任何 给 定 的 时 间 都 尽 可 能 小 。 
模块 是 处 理 一 些 内 核 功能 的 很 好 的 方法 ， 包 括 非 持续 使 用 的 驱动 程序 《如 磁 市 驱动 器 〉。 模 块 文 
件 名 以 .ko 结束 ， 并 存储 在 /lib/modules 的 子 目 录 中 。 在 企业 级 Linux 中 ， 内 核 模块 会 与 前 一 市 中 
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解释 的 内 核 一 起 被 编译 。 
K 18-1 列 出 了 一 些 可 用 的 工具 来 帮助 使 用 模块 。 相关 选项 和 更 多 信息 请 参阅 相应 的 手册 页 。 
表 18-1 使 用 模块 的 工具 














工具 /程序 功 能 
depmod 兼容 模块 的 依赖 关系 
insmod 在 运行 的 内 核 中 加 载 模块 
lsmod 列 出 所 有 已 加 载 模块 的 信息 
modinfo 列 出 有 关 模 块 的 信息 
modprobe 关于 模块 的 加 载 、 凶 载 和 报告 。 当 加 载 一 个 模块 ， 它 也 将 加 载 依赖 关系 
rmmod 从 正在 运行 的 内 核 中 郝 载 模块 


ELTE 安装 内 核 、 模 块 和 相关 文件 





下 一 步 必 须 以 root 权限 执行 ， 需 要 复制 已 编译 的 内 核 、 模 块 和 相关 文件 到 适当 的 目录 ， 这 
个 日 录 通 常 是 /boot 和 /lib/modules 的 一 个 子 目 录 。 当 把 分 区 挂 载 在 /boot 时 ， 文件 都 保存 在 该 分 区 
的 根 目录 (boot) 中 。 因 为 已 经 创建 了 一 个 RPM 包 ， 所 以 安装 这 些 文件 是 很 容易 的 。 下 面 的 命 
令 将 从 Sam 主 目录 的 rpmbuild H o EXC TA ZR VER OCTE SUE BEI Ho: 


$ su-c 'rpm -ivh --force -sam/rpmbuild/RPMS/i686/kernel-2.6.38.2-9.sam110418 














150 DO eed o9 oT DID Pao S Word; 

Preparing... 4HHHBEHEHHHEHHHEEEEEHHHHHHBEEEHHHHHHHHBERHHHHHRHE [1003] 

1:kernel 4HHHBHEHHHHBEHHEHHHBEHÓHHBRRERHEHHHHRHBHHHHHHHHHRE [1002] 

以 这 种 方式 安装 内 核 可 以 更 新 grub.confGRUB 配置 文件 以 包含 新 内 核 。 

通过 单 击 屏幕 右上 角 的 用 户 名 并 选择 Shut Down， 然 后 选择 Restart， 就 可 以 重新 启动 系统 。 
如 果 在 控制 台 上 工作 ， 可 按 CONTROL-ALT-DEL。 还 可 以 从 控制 台 、 基 于 字符 的 终端 或 终端 仿 
真 器 使 用 reboot 命令 。 当 系统 重新 启动 后 ， 可 以 使 用 uname 验证 加 载 的 新 内 核 : 


S uname -r 




















p M DM Ec cuis (ue ee OREIROIRG 


18.5 Linux 系统 故障 处 理 





在 进行 内 核 编 详 、 裁 前 或 者 是 局 动 Linux 系统 的 过 程 中 ， 可 能 会 遇 到 形形色色 的 问题 ， 征 频 
双 地 重新 局 动机 峰 ， 还 是 重新 安 痛 系统 呢 ? 有 其实 ， 这 些 都 是 比较 从 的 办 法 ， 在 Linux 系统 中 ， 有 
很 多 办 法 可 以 挽救 朋 深 的 系统 。 下 和 耐 将 给 出 在 实际 使 用 中 最 为 典型 的 四 种 场景 ,来 一 一 介绍 如 何 
VAT SUA i RR AS E e 
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18.5.1 修复 文件 系统 


虽然 在 引导 过 程 中 会 自动 检查 文件 系统 ,但 如 果 出 了 问题 不 能 日 动 修复 ,将 不 得 不 手动 检查 。 
默认 情况 下 ，fsck 在 开机 时 不 能 目 动 修复 文件 系统 ， 需 要 让 Linux 进入 单 用 户 模 式 ， 这 样 就 可 以 
手动 运行 fsck。 如 果 有 必要 ， 可 以 显 式 启动 系统 到 单 用 户 模 式 。 不 要 挂 载 除 根 以 外 的 任何 Linux 
自动 挂 载 设备 。 

值得 注意 的 是 : 在 运行 fsck 之 前 要 备份 严重 损坏 的 文件 系统 〈 当 一 个 文件 系统 严重 损坏 而 
试图 修复 它 时 ) , fsck 有 时 会 使 情况 变 得 更 糟 。 在 这 种 情况 下 ， 在 试图 修复 它 之 前 ， 通 过 从 损坏 
的 文件 系统 中 复制 可 读数 据 ， 束 有 可 能 恢复 更 多 的 数据 。 当 损坏 的 文件 系统 保存 了 重要 数据 时 ， 
在 试图 使 用 fsck 修复 它 之 前 ， 先 使 用 dd 对 系统 做 一 个 完整 的 二 进 制备 份 。 

在 单 用 户 模 式 下 执行 mount 命令 ， 以 确保 要 检 得 的 本 地 文件 系统 没有 被 挂 载 。 然 后 在 这 些 
文件 系统 上 运行 fck， 根 据 需 要 对 其 进行 修复 。 请 注意 告知 被 修复 〈 并 能 识别 ) 的 任何 普通 文件 
或 目录 的 所 有 者 ， 这 些 文 件 可 能 会 不 完整 或 不 正确 。 在 每 个 文件 系统 中 为 丢失 的 文件 查找 
lost-found 目录 。 成功 后 运行 fsck, 如 果 系 统 目 动 进 入 单 用 户 模 式 , 输入 exit AE P shell 退出 ， 
并 恢复 引导 该 系统 ， 否 则 执行 reboot 命令 。 

如 果 文 件 不 正确 或 完全 丢失 ， 则 必须 从 文件 系统 的 备份 副本 中 重建 它们 。 


18.5.2 ”重新 安装 MBR 





















































当 Windows ZCEg:5 | MBR 时 , A DHEIRC, MR DVD 引导 系统 , 并 选择 Rescue 
installed system。 人 然后 挂 载 系统 映像 并 在 适当 的 设备 上 运行 grub-install: 
# chroot /mnt/sysimage 


4$ grub-install /dev/sda 


18.5.3 ” 当 系 统 无 法 引导 时 


当 系 统 无 法 从 便 盘 引导 时 ，3 引 导 系 统 到 挽救 已 安 状 系 统 或 到 单 用 户 / 挽 救 模 式 。 如 果 系 统 局 
动 ， 在 便 盘 的 根 文件 系统 上 运行 fsck， 并 尝试 再 次 从 便 盘 引导 。 如 果 系 统 仍然 无 法 启动 ， 可 能 需 
要 重新 安装 主 引 导 记 录 。 

当 一 切 都 不 行 时 ， 在 安 北 过 程 中 执行 “升级 ”到 Linux 的 目前 版 本 。Fedora/RHEL 系统 可 以 
执行 一 个 非 破 坏 性 的 升级 ， 并 可 以 在 此 过 程 中 修复 部 分 损坏 内 容 。 


18.5.4 ”挽救 已 安装 的 系统 


当 挽 救 已 安装 系统 时 ， 可 以 修复 一 个 不 能 正常 引导 的 系统 : 更 改 或 奉 换 配置 文件 、 使 用 fsck 
检查 并 修复 分 区 、 香 写 引 导 信 息 以 及 更 多 。 为 了 挽救 已 安装 系统 ， 从 网 络 引 守 CD 或 安装 DVD 
引导 系统 ， 并 从 “欢迎 ”菜单 中 选择 Rescue installed system。 当 系统 要 求 指定 要 使 用 的 语言 和 键 
盘 时 ， 随 后 瓯 会 显示 挽救 国 面 ， 如 图 18-3 所 示 。 
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18-3. ”挽救 画面 
的 救国 面 首先 会 询问 是 否 要 设置 网 络 接口 .如 果 想 从 局 域 网 上 的 其 他 系统 中 复制 文件 或 从 互 











联网 上 下 载 文 件 ， 这 个 接口 是 必需 的 。 选 择 设 置 该 网 络 接口 时 ， 需 要 决定 是 售 让 DHCP 上 自动 配置 
网 络 连接 还 是 手动 提供 接口 的 卫 地 址 和 网 络 掩 码 以 及 网 天 和 DNS 服务 器 的 IP 地 址 。 

如 果 抚 救 过 程 发 现 已 有 Linux 安装 ， 可 以 选择 将 其 挂 载 到 /mnt/sysimage 下 ， 选 择 只 读 模 式 。 
随 着 现 有 安装 的 挂 载 ， 一 旦 系统 显示 shell 提示 符 ( 类 似 于 bash-4.2#) ， 可 以 执行 
chroot/mnt/sysimage 命令 以 访问 现 有 安 履 ， 就 如 同 它 已 经 被 正常 引导 了 一 样 ， 现 有 安 状 的 根 目 录 
为 /( 根 〉。 如 果 选 择 不 挂 载 现 有 安 狼 ， 则 使 用 挂 载 在 标准 位 置 Cbin, /usr/bin 等 ) 的 标准 工具 运 
行 撑 救 系 统 。 可 以 从 本 地 安装 修复 或 挂 载 分 区 。 当 从 挽救 shell 退出 后 ， 系 统 将 重 狐 局 动 。 如 果 
想 从 便 盘 引导 ， 需 要 取出 CD 或 DVD。 
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神 兵 利器 : 企业 Linux 数据 备份 及 安 
全 工具 


本 章 导读 


除了 本 书 在 前 面 章节 介绍 所 提 到 的 一 些 
安全 工具 和 数据 备份 工具 外 ， 本 章 还 将 对 一 
些 比较 常用 的 优秀 开源 工具 进行 介绍 。500 
强 企业 在 进行 Linux 安全 管理 和 运 维 的 过 程 
中 ， 可 以 很 好 地 利用 这 些 开源 工具 来 你 证 企 
业 信 息 安 会 
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EIXHN 安全 备份 工具 


19.1.1 Amanda 


Amanda (Advanced Maryland Automatic Network Disk Archiver) , 3 E = A2% K 5) I K RAA 
存档 工具 ) 是 由 马里 兰 大 学 的 James da Silva Æ 1991 年 所 开发 的 。 它 是 一 个 复杂 的 网 络 备份 系统 ， 
能 够 把 LAN 中 的 所 有 计算 机 备份 到 一 台 服 务 器 的 磁带 有 驱动器、 磁盘 或 光盘 上 。Amanda 本 里 并 
不 是 备份 程序 ， 它 其 实 只 是 管理 其 他 备份 软件 的 封装 软件 。 它 使 用 系统 上 的 dump 和 restore 命令 
作为 底层 的 备份 软件 ， 同 时 也 能 够 使 用 tar 命令 ， 针 对 于 Windows 计算 机 ，Amanda 还 能 够 使 用 
smbtar 命令 来 实现 备份 。 

Amanda 文 持 类型 广泛 的 破 市 张 动 器 ， 并 且 能 够 使 用 磁 市 驱动 器 中 的 人 硬件 压缩 功能 ， 或 者 也 
可 以 在 数据 通过 网 络 之 前 使 用 客户 机 的 compress 以 及 gzip 命令 来 压缩 备份 。 其 次 ，Amanda 能 够 
使 用 临时 保存 磁盘 作为 备份 存档 的 中 间 存 储 媒 介 ,， 以 优化 磁 市 的 号 入 性 能 并 保证 在 磁 融 出 错时 也 
能 备份 数据 。 

Amanda 是 当前 最 流行 的 免费 备份 解决 方案 。 目 前 Amanda 最 新 的 稳定 版 本 是 2.6.1, 是 2009 
年 1 月 26 日 用 布 的 。 用 户 可 以 通过 http://www.amanda.org 站 点 免费 获得 。 


19.1.2 BackupPC 






































BackupPC 是 一 个 高 效 的 企业 级 别 的 备份 系统 ， 可 以 备份 加 面 系统 、 笔 记 本 等 。 可 以 从 网 站 
http:/backuppc.sourceforge.net/ 访 问 并 下 载 。 它 文 持 Linux 和 Windows 操作 系统 的 备份 ， 目前 常用 
T Linux 操作 系统 。 其 最 新 的 版 本 为 3.1.0。 它 具有 以 下 几 个 显 背 特点 。 

a 最 小 化 使 用 服务 器 的 磁盘 空间 和 IO 来 对 数据 进行 备份 和 恢复 。 

mn 采用 优化 的 压缩 技术 ， 进 一 步 减 少 杰 盘 空间 需求 量 。 

a 具有 强大 和 友好 的 图 形 用 户 界 面 ， 方 便 用 户 操 作 使 用 。 

a 文 持 多 种 备份 方式 和 备份 选项 。 

a 灵活 的 配置 方法 。 


19.1.3 Bacula 

















Bacula 采用 模块 化 设计 , 采用 C/s 构架 , 理论 上 可 以 把 任意 多 台 主 机 的 资料 备份 到 任意 多 台 
机 器 中 ， 而 用 户 不 需要 在 每 台 机 器 上 都 写 一 个 配置 文件 控制 它们 的 运作 ， 所 有 主要 的 工作 都 在 一 
台 主 控 备 份 机 器 上 进行 。 登 录 主 控 备 份 ， 用 户 就 可 以 清楚 地 知道 和 监控 哪些 备份 正在 运行 、 哪 些 
备份 成 功 了 、 哪 些 备份 失败 了 ， 所 有 的 备份 日 志 也 会 集中 到 用 户 指定 的 地 方 ， 这 样 的 集中 式 管理 
机 制 让 管理 工作 更 简单 了 。 恢复 的 时 候 也 很 简单 ， 人 简单 运行 儿 个 命令 ， 用户 就 可 以 把 指定 的 备份 
恢复 。 文 持 完 全 备份 、 和 差异 备份 、 增 量 备份 等 多 种 备份 机 制 ; 文 持 把 备份 号 到 多 种 备份 巡 质 中 ， 
比如 写 入 到 便 盘 文件 中 ， 也 文 持 写 到 磁带 中 。 文 持平 台 相 当 多 ， 设 置 包括 Win 平台 《备份 Win， 
还 不 支持 备份 到 Win) 。 其 网 站 为 : http:/www.bacula.org/en/。 目 前 其 最 稳定 版 本 为 2.4.4 (2009 
年 1 月 发 布 ) ， 而 最 新 版 本 为 bacula-2.5.42-b2， 它 是 一 个 Beta 测试 版 本 ， 于 2009 年 3 Hs. 
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19.1.4 Xtar 





Xtar 是 Linux 系统 加 而 环境 下 但 看 和 处理 tar 的 工具 tar 工具 是 UNIX 备份 文 件 的 工具 ,Linux 
继承 了 该 工具 。 因 为 tar 几乎 可 以 工作 于 任何 环境 中 ,所 以 Linux 老 用 户 都 信赖 它 。 但 是 tar 是 一 
个 命令 行 的 工具 ， 没 有 图 形 界 面 ， 使 用 起 来 不 是 很 方便 。tar 命令 的 参数 非常 多 ， 第 用 的 包括 30 
多 个 ， 初 学 者 往往 不 多 掌握 。 而 Xtar 是 一 个 图 形 化 的 tar CLH. Xtar 全 部 兼容 tar 命令 ， 可 以 在 
果 和 面 环境 下 完成 打包 整个 目录 树 的 任务 ， 这 使 得 它 特别 适合 用 于 备份 。Xtar 与 文件 系统 无 天， 可 
以 使 用 在 ext2、ext3、JFS、Reiser 和 其 他 文件 系统 上 ， 文 持 各 种 备份 介质 : KA CA TES 
ER JazZip. fA. 


























19.1.5 Taper 








Taper Æ — AHWA BLA HP Zi EMRA, EEROR. Ea AA 
人 台 磁 市 机 上 备份 /恢复 软件 ， 文 持 目 动 更 新 备份 和 恢复 ， 是 一 个 相当 好 用 的 工具 。Taper 可 以 运行 
在 命令 行 和 KDE、GONME 呆 和 面 环 境 下 。 在 命令 行 下 局 动 一 个 终 闹 输入 即 可 局 动 。Taper 最 大 的 
优点 是 文 持 多 种 备份 介质 : RA. €x. ZIP 张 动 器 、 便 盘 等 。 毕 竟 做 带 机 的 价格 还 是 比较 昂 趴 
的 。 缺 点 是 Taper 最 新 厂 本 一 次 备份 文件 最 大 容量 不 能 超过 4GB。 该 软件 的 下 载 网 站 为 : 
taper.sourceforge.net/。 目 前 ， 其 最 痢 版 本 为 : 6.9b。 


19.1.6 Arkeia 




















Arkeia 是 一 个 基于 客户 /服务 模式 的 备份 解决 方案 。Arkeia 使 用 了 独特 的 多 线程 技术 ， 因 此 
备份 速度 很 快 。 如 采 客 户 靖 是 选择 用 图 形 界面 的 ， 需 要 Java 虚拟 机 (JVM) 文 持 。 作 为 商业 软 
件 Arkeia 和 Kdat 相 比 最 大 的 优点 是 备份 速度 快 ( 在 高 速 网 络 中 Arkeia 一 个 小 时 可 以 备份 700GB 
文件 ) 和 广泛 应 用 的 平台 〈 通 过 Samba 可 以 备份 Windows 主机 ) o h RIEH BIE A H m 
两 个 软件 : arkeiasb-server、arkeiasb-gui。Arkeia 有 非 第 详细 的 在 线 帮 助 ， 很 容易 上 手 。 其 下 载 网 


站 为 : www.arkeia.com/download/. 








19.1.7 webCDcreator 





目前 政府 和 企 事业 单位 改换 为 Linux 用 于 困 和 面 系 统 。 针 对 这 种 情况 ， 硅 想 实现 备 份 ， 可 以 在 
安装 刻录 机 的 Linux H4 9 i4 webCDcreator 共享 刻录 软件 。 然 后 网 络 中 的 所 有 市 点 《Linux、 
Windows 均 可 ) 都 可 使 用 这 从 刻录 机 进行 数据 备份 。 首 先 在 服务 硕 奖 安 儿 配 置 软件 ， 然 后 在 客户 
mA IE ZA Java 的 浏览 器 即 可 访问 服务 器 上 的 刻录 机 。 部 普 webCDcreator 刻录 软件 的 优点 是 : 
节约 资金 ， 因 为 所 有 软件 都 是 免费 的 。 所 使 用 的 机 器 上 只 需 能 够 运行 内 核 2.2.x 以 上 的 任 一 Linux 
发 行 版 ,便于 管理 , 集中 化 的 方式 有 利于 管理 。 其 下 载 网 站 为 : http://joerghaeger.de/webCDecreator/. 

















19.1.8 Ghost for Linux 





Ghost for Linux 是 一 个 出 色 的 硬盘 对 拷 工 具 ， 它 可 以 最 大 限度 地 减少 用 户 每 次 安装 操作 系统 
的 时 间 。 它 能 适用 于 不 同 大 小 的 硬盘， 而 且 空 间 都 被 充分 利用 起 来 。 注意 Ghost for Linux 不 是 赛 
Ik su Ghost, 它 是 一 个 开放 源 代码 软 件 , 支持 ATA、serial-ATA 和 SCSI fiit. MEH Ghost for 
Linux 进行 Linux 系统 备份 的 优点 在 于 ;无须 购买 磁带 机 设备 ， 使 用 一 个 大 便 盘 就 可 以 为 多 台 系 
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统 进行 全 盘 备 份 (一 台 人 磁带 机 的 价格 相当 于 100 个 人 硬盘 的 价格 〉。 可 以 使 用 匿名 传输 的 方式 把 备 
份 文件 传输 到 FTP 服务 器 。 缺 点 在 于 : 备份 时 间 比 磁带 机 长 。 其 下 载 网 站 为 : 
https://sourceforge.net/projects/g41。 


19.1.9 NeroLINUX 


BG Linux 内 核 版 本 的 增加 ，Linux 操作 系统 越 来 越 大 ， 用 DVD 刻录 机 备份 操作 系统 成 为 
必然 。NeroLINUX 是 Nero 公司 友和 布 的 一 于 加 和 耐 环境 下 的 CD/DVD 刻录 软件 ， 在 操作 上 
NeroLINUX 与 Windows 的 版 本 基本 相同 ， 它 文 持 2.4/2.6 版 本 内 核 ， 并 且 将 采用 RPM 和 Debian 
包 等 易 安 装 软件 包 形 式 。 从 备份 介质 方面 ，NeroLINUX 支持 所 有 主流 刻录 盘 片 。 它 有 非常 容易 
使 用 的 界面 ， 功 能 比较 齐全 。 缺 点 是 目前 NeroLINUX 还 只 有 RPM 和 Deb 两 种 版 本 ， 没 有 提供 
源 代 人 码 ， 所 以 只 能 用 于 使 用 以 上 两 种 发 行 版 本 的 Linux。 其 下 载 网 站 为 : www.nero.com. 


19.1.10 mkCDrec 


























mkCDrec( 建 立 可 恢复 系统 的 只 读 CD) 是 Linux 系统 中 建立 可 引导 灾难 恢复 CD 的 工具 。 
它 文 持 多 数 文件 系统 、RAID 廉价 见 余 人 磁盘 阵列 〉 以 及 可 选 的 工具 ， 可 以 用 来 进行 系统 故障 修 
复 。 使 用 mkCDrec CD 来 引导 系统 ， 用 户 还 需 做 其 他 工作 : 如 采用 户 选择 建立 系统 备份 ， 那 么 用 
户 可 以 执行 /etc/recovery/start-restore.sh 命令 ， 该 命令 运行 后 将 提示 用 户 完 整 的 系统 恢复 过 程 。 如 
果 您 在 建立 局 动 CD 时 没有 进行 备份 ， 那 么 系统 会 提示 没有 数据 可 以 进行 恢复 。/etc/recovery H 
录 包 含 了 许多 工 其 可 以 用 来 进行 系统 恢复 或 者 修复 月 尝 的 服务 器 ， 在 mkCDrec 的 Web 站 点 上 有 
评 细 的 说 明 。 其 下 载 网 站 为 : http:/mkcdrec.ota.be。 


ETYJ Sudo: 系统 管理 工具 


Sudo 是 一 我 开源 安全 工具 ， 第 用 于 对 Root 权限 进行 控制 和 审计 。 它 的 指导 思想 是 “在 保证 
人 们 能 正 篆 工 作 的 条 件 下 ， 尽 量 压缩 授予 他 们 的 权限 ”。 系 统管 理 员 不 仅 可 以 让 指定 的 用 户 或 用 
户 组 作为 root 用 户 或 其 他 用 户 来 运行 某 些 命令 ,还 能 将 指定 的 用 户 所 输入 的 命令 和 参数 作 详 细 的 
记录 。 当 然 ， 访 软件 是 可 以 免费 的 ， 具 体 地 址 是 www.gratisoft.us/sudo/download.html. 
Sudo 程序 是 一 于 在 命令 行 方式 下 工作 的 安全 工具 ， 并 且 我 们 每 次 只 执行 一 条 命令 。Sudo 文 
持 的 功能 如 下 。 
a 命令 日 六。 记录 命令 和 参数 。 该 功能 用 于 跟踪 用 户 输入 的 命令 ， 尤 其 适合 于 进行 系统 
审计 。 因 为 Sudo 会 记录 下 所 有 作为 root 用 户 《 或 者 规定 的 其 他 用 户 ) 的 命令 ， 所 以 许 
ZEE ESSE CX SM root shell， 以 便 记 录 下 目 己 使 用 的 命令 ， 这 不 仅 能 增进 系统 
安全 ， 还 能 用 来 进行 故障 检修 。 
a ”集中 记录 多 个 系统 的 日 志 。Sudo 联合 系统 日 志和 守护 进程 syslog 后 ， 能 将 所 有 日 志 集 中 
存放 在 一 个 主机 上 。 
a 命令 限制 。 限 定 用 户 或 者 用 户 组 能 够 使 用 的 命令 。 
a ”检票 系统 。 检 票 系统 通过 在 用 户 登 录 到 Sudo 时 所 创建 的 票据 来 设 定 时 间 限 制 。 票 据 只 
在 规定 的 时 间 内 有 效 。 每 个 狐 的 命令 都 会 刷新 票据 的 预 设 时 间 ， 默 认 的 预 设 时 间 是 5 
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分 钟 。 现 实 中 ， 该 功能 非常 有 用 ， 有 了 它 ， 即 使 root 用 户 离 开 系 统 时 起 了 注销 ， 也 不 
人 至 于 被 其 他 可 以 接触 到 键盘 的 用 户 肆 无 忌 习 地 疾 探 系统。 因为 票据 过 期 后 ， 系 统 必 须 
重新 登录 。 所 以 ， 我 们 最 好 把 有 效 时 间 尽 量 设 得 短 一 点 ， 如 默认 有 效 时 间 为 5 分 钟 。 
检票 系统 还 可 以 用 来 清除 用 户 的 紧 据 文件 。 

a ”集中 管理 多 个 系统 。Sudo 的 配置 一 般 写 在 /etc/sudoers 文件 中 ， 而 该 文件 可 以 供 多 个 系 
统 使 用 ， 这 样 一 来 ， 我 们 就 可 以 在 一 个 主机 上 对 这 些 系统 进行 集中 管理 了 。 

Sudo JLE EAH] UNIX 操作 系统 版 本 ， 但 如 果 要 从 源 代 人 码 进 行 安 北 的 话 ， 必 须 准 备 好 

C inis make 工具 。 








19.3 NetCat: 网 络 安全 界 的 瑞士 军刀 


NetCat 是 一 和 非常 简单 的 UNIX 工 具 , 可 以 读 、 写 TCP 或 UDP 网 络 连接 (Cnetwork connection). 
它 被 设计 成 一 个 可 靠 的 后 端 〈back-end) 工具 ， 能 被 其 他 的 程序 或 脚本 直接 地 或 容易 地 驱动 。 同 
时 ,， 它 又 是 一 悉 功 能 丰富 的 网 络 调试 和 开 友 工具 ， 因 为 它 可 以 建立 你 可 能 用 到 的 几乎 任何 类 型 的 
连接 ， 以 及 一 些 非 常 有 意思 的 内 建功 能 。NetCat 的 实际 可 运行 的 名 罕 叫 nc， 应 该 很 早 就 被 提供 ， 
束 像 为 一 个 没有 公开 但 是 标准 的 UNIX 工具 。 

NetCat 可 以 友 现 网 络 上 的 设备 并 且 绘 制 网 络 地 图 。 人 们 可 以 从 Sourceforge 网 站 和 人 @stake 网 
站 下 载 该 工具 。 目 前 ，@stake 大 约 提 供 二 十 多 种 安全 工具 ， 工 具 种 类 涉及 信息 采集 、 证 据 收 集 、 
网 络 实 用 工具 、 口 令 审计 、 恢 复 与 修补 以 及 安全 漏洞 扫 拉 等。 其 中 ，Andreas Junestam 编写 的 
WFPdisable, Paul Clip 编写 的 AUSTIN, Frederic Bret-Mount 开发 的 ComBust 以 及 Ollie Whitehouse 
开 友 的 WAP Assessment Tool 都 以 保持 最 新 状态 而 闻名 

其 实 NetCat 的 原理 很 简单 ， 它 束 是 从 网 络 的 一 端 读 入 数据 ， 然 后 输出 到 网 络 的 男 一 端 ， 它 
可 以 使 用 TCP 和 UDP 协议 。 之 所 以 叫做 NetCat， 因 为 它 是 网 络 上 的 cat， 想 象 一 下 cat 的 功能 ， 
访 出 一 个 文件 的 内 容 ， 然 后 输出 到 屏 攻 上 《默认 的 stdout 是 屏 攻 ， 当 然 可 以 重 定 癌 到 其 他 地 方 ) 。 
NetCat 也 是 如 此 ， 它 读 取 一 端的 输入 ， 然 后 传送 到 网 络 的 男 一 端 。 

NetCat 的 一 些 主要 功能 如 下 。 

a 支持 连 出 和 连 入 (Coutbound and inbound connection? ~ TCP 和 UDP, ERAI H Him HO o 

» 全 部 DNS 正 同 / 反 问 枪 但， 给 出 恰当 的 管 告 。 

a ”使 用 任何 源 问 口 。 

a ”使 用 任何 本 地 设置 的 网 络 资源 地 址 。 

a AmO. iA MILAR EK o 

= ”内 建 loose source-routing 功能 。 

a ”从 标准 输入 读 取 命令 行 参数 。 

a ERZA, N 秒 发 送 一 行 。 

a 以 十 六 进 制 显示 传送 或 接收 的 数据 。 

a 人 允许 其 他 程序 服务 建立 连接 。 

= — Xj Telnet 应 答 。 
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CEN Lor: 隐蔽 文件 发 现 工具 


当 攻 击 者 入 侵 Linux 系统 和 上 传 文件 后 ,他 会 设法 隐藏 这 些 文件 ,否则 很 容易 被 系统 管理 员 
发 现 。 一 个 简单 的 办 法 就 是 将 文件 设 定 为 隐藏 。 另 外 一 种 方法 是 创建 一 个 进程 打开 一 个 文件 ， 然 
后 unlink 文件 ， 但 是 进程 继续 写 文件 。 诸 如 ls 之 类 的 文件 显示 命令 并 不 能 显示 这 些 信息 ， 因 此 
也 不 会 被 管理 员 发 现 。 因 此 ， 了 解 系统 上 程序 的 限制 是 重要 的 。 如 果 管 理 员 信任 一 个 程序 ， 而 实 
际 上 该 程序 并 没有 为 使 用 者 提供 真正 的 信息 ， 那 么 管理 员 会 得 到 错误 的 信息 。 可 以 使 用 许多 工具 
来 代 奉 标准 的 Is 程序 ， 它 能 够 为 用 户 提 供 更 多 信息 ， 这 个 工具 就 是 LSOF 隐蔽 文件 发 现 工 具 。 

该 工具 可 以 在 普 渡 大 学 的 主页 上 或 者 是 网 址 : http:/www.ja.net/CERT/software/lsof/ 上 获得 。 
LSOF 是 一 个 能 提供 关于 文件 详细 信息 的 程序 ， 包 括 被 unlink 邱 的 文件 。 因 此 ， 当 攻击 者 试图 隐 
藏 信息 时 ， 尽 管 Is 无 法 发 现 ， 而 LSOF 能 够 帮助 系统 管理 员 发 现 这 些 文件 。 












































19.5 Traceroute: 路 由 追踪 工具 








Internet 是 目前 世界 上 最 大 的 计算 机 网 络 ， 更 确切 地 说 是 网 络 的 网 络 。 它 由 遇 布 全 球 的 儿 万 
局 域 网 和 数 百 万 台 计 算 机 组 成 ， 并 通过 用 于 噶 构 网 络 的 TCP/P 协议 进行 网 间 通 信 。 互 联网 中 ， 
言 姑 的 传送 是 通过 网 中 许多 段 的 传输 介质 和 设备 (路 由 费 、 交 换 机 、 服 务 右 、 网 关 等 ) 从 一 并 到 
达 男 一 端 。 每 一 个 连接 在 Internet. 上 的 设备 ， 如 主机 、 路 由 器 、 接 入 服务 器 等 一 般 情 况 下 都 会 有 
一 个 独立 的 IP 地 址 。 通 过 Traceroute 我 们 可 以 知道 信息 从 你 的 计算 机 到 互联 网 另 一 端的 主机 是 
走 的 什么 路 径 。 当然 每 次 数据 包 由 某 一 同样 的 出 友 点 (source) 到 达 菏 一 同样 的 目的 地 (destination) 
走 的 路 径 可 能 会 不 一 样 ， 但 基本 上 可 以 来 说 大 部 分 时 候 所 走 的 路 由 是 相同 的 。UNIX 系统 中 ， 我 
们 称 之 为 Traceroute. MS Windows 中 为 Tracert。Traceroute 通过 发 送 小 的 数据 包 到 目的 设备 直到 
其 返回 ， 来 测量 其 需要 多 长 时 间 。 一 条 路 径 上 的 每 个 设备 Traceroute 要 测 3 次 。 输 出 结果 中 包括 
每 次 测试 的 时 间 Cms? 、 议 备 的 名 称 〈 如 有 的 话 ) 及 其 IP 地址 。 

Traceroute 最 早 是 由 Van Jacobson 在 1988 写 出 的 小 程序 。 当 时 主要 是 为 解决 他 自己 页 到 的 
一 些 网 络 问 题 。Traceroute 是 一 个 正确 理解 耻 网 络 并 了 解 路 由 原理 的 重要 工具 。 它 对 负责 网 络 工 
程 技术 与 系统 管理 的 Webmaster 是 一 个 使 用 方便 的 程序 。 对 ISP WA, Wo Traceroute YK, K 
使 网 络 服务 提供 丙 帮 助 用 户 建 并 并 维持 对 服务 商 服 务 质 量 的 信心 。 服务 质量 局 的 ISP 可 以 通过 设 
SE Traceroute 网 关 ， 使 用 户 了 解 其 与 网 络 连接 以 及 数据 传输 的 效率 。 当 然 ， 基 础 设施 大 、 服 务 质 
量 低 的 ISP 是 比较 害怕 提供 这 种 服务 。 因 为 ， 这样 用户 可 以 使 用 这 一 工 共 了 解 服务 商 目 前 的 网 络 
连接 情况 。 因 此 ， 访 工具 可 以 为 Fedora 10 用 户 用 来 但 看 足 由 ， 并 可 以 通过 获得 的 信息 得 到 报 文 
和 信息 的 来 源 ， 从 而 确定 安全 性 。 





















































EET xProbe: 操作 系统 识别 工具 


XProbe 是 一 于 主动 操作 系统 指纹 识别 工具 ， 它 可 以 测定 远程 主机 操作 系统 的 类 型 。XProbe 
依靠 与 一 个 签名 数据 库 的 模糊 匹配 以 及 合理 的 推测 来 确定 远程 操作 系统 的 类 型 ,利用 ICMP 协议 


TW 19 E 
神 兵 利 器 : 企业 Linux 数据 备份 及 安全 工具 














进行 操作 系统 指纹 识别 是 它 的 独到 之 处 。 使 用 时 ， 它 假设 某 个 端口 没有 被 使 用 ， 它 会 向 目标 主机 
的 较 高 端口 发 送 UDP E, 目标 主机 就 会 回应 ICMP E, 然后 ，XProbe 会 发 送 其 他 的 包 来 分 辨 目 
标 主机 系统 ， 有 了 这 个 软件 ， 判 断 对 方 的 操作 系统 束 很 容易 了 。 








SATAN: 系统 弱点 发 现 工具 


SATAN 可 以 用 来 帮助 系统 管理 员 检 测 安全 , 也 能 被 基于 网 络 的 攻击 者 用 来 搜索 脆弱 的 系统 。 
SATAN 是 为 系统 和 管理 员 设 计 的 一 个 安全 工具 。 然 而 由 于 它 的 广泛 性 、 易 用 性 和 扫描 远程 网 络 
的 能 力 , SATAN 也 可 能 因为 好 奇 而 被 用 来 定位 有 弱点 的 主机 。SATAN 包括 一 个 有 关 网 络 安全 问 
题 的 检测 表 ， 经 过 网 络 碍 找 特定 的 系统 或 者 子 网 ， 并 报告 它 的 发 现 。 它 能 搜索 以 下 的 弱点 。 

a NFS: 由 无 权限 的 程序 或 端口 导出 。 

a NIS: 口令 文件 访问 。 

a — Rexd: 是 否 被 防火 墙 阻止 。 

" Sendmail: 各 种 弱点 。 

= ftp: ftp. wu-ftpd 或 tftp 配置 问题 。 

a ”远程 Shell 的 访问 : 它 是 否 被 禁止 或 者 隐藏 。 

« 义 Windows: 主机 是 否 提 供 无 限制 的 访问 。 

a ”Modem: 经 过 TCP 没有 限制 拨号 访问 。 
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作为 一 种 优秀 的 操作 系统 ，Linux 提供 
了 200 余 种 文件 系统 操作 、 系 统管 理 和 网 络 
管理 命令 。 因 此 ， 它 受到 网 络 管理 员 的 青睐 。 
这 些 命令 能 够 使 用 户 方便 地 使 用 和 和 管理 系 
2， 更 为 重要 的 是 ， 它 们 是 用 尸 安全 管理 
Linux 的 必要 知识 和 人 必 备 工具 。 基 于 这 个 原 
因 ， 本 附录 挑选 了 百 余 种 Linux 中 最 为 常见 
和 重要 的 命令 ， 给 出 的 这 些 命令 的 功能 说 明 
和 参数 , 以 及 语法 使 用 都 是 严格 地 根据 Linux 
中 的 man 手册 参考 得 来 的 ， 名望 给 用 户 作 为 
H 常 使 用 和 学 习 的 参考 之 用 。 


附录 A 
企业 级 Linux PEREA MEENNNENNEENEN 


EVE 文件 系统 管理 命令 


Which 
功能 说 明 : ARL. 
语法 : which [文件 …] 
使 用 说 明 : which 指令 会 在 环境 变量 $PATH 设置 的 目录 中 查找 符合 条 件 的 文件 。 
参数 : 
a -n< 文 件 名 长 度 >: 指定 文件 名 长 度 , 指定 的 长 度 必 须 大 于 或 等 于 所有 文件 中 最 长 的 文件 名 。 
a 。  -p< 文 件 名 长 度 >: 与 -n 参数 相同 ， 但 此 处 的 < 文件 名 长 度 > 包 括 了 文件 的 路 径 。 
a — -W: 指定 输出 时 栏 位 的 宽度 。 
" -Vi 显示 版 本 信息 。 
whereis 
功能 说 明 : 查找 文件 。 
语法 : whereis [-bfmsu][-B< 日 录 >...][-M< 目 录 >...][-S< 目 录 >...][ 文 件 ...] 
使 用 说 明 : whereis 指令 会 在 特定 目录 中 人 查找 符合 条 件 的 文件 。 这 些 文件 的 属性 应 属于 原始 
人 代码、 二进制 文件 、 或 是 帮助 文件 。 
参数 : 
a ”-b: 只 查找 二 进 制 文件 。 
a ”-B< 目 录 >: 只 在 设置 的 目录 下 答 找 二 进 制 文 件 。 
a -f 不 显示 文件 名 前 的 路 径 名 称 。 
a -m: 内 但 找 说 明文 件 。 
a 。  -M< 目 录 >: 只 在 设置 的 目录 下 得 找 说 明文 件 。 
mn ”-S: 只 和 奏 找 原始 代码 文件 。 
a  -S< 目 录 >: 只 在 设置 的 目录 下 但 找 原 始 代 人 码 文件 。 
a u: 答 找 不 包含 指定 类 型 的 文件 。 
umask 
功能 说 明 : 指定 在 建立 文件 时 预 设 的 权限 掩 人 码 。 
语法 : umask [-S][f [i $653] 
使 用 说 明 : umask 可 用 来 设 定 权限 掩 码 。 权 限 掩 码 是 由 3 个 八进制 的 数字 所 组 成 ， 将 现 有 的 
存 取 权限 减 挥 权限 掩 码 后 ， 即 可 产生 建立 文件 时 预 设 的 权限 。 
参数 : 
mn o -S: 以 文字 的 方式 来 表示 权限 掩 码 。 
split 
功能 说 明 : 切割 文件 。 
语法 : split [--help][--version][-< 行 数 >][-b< 字 节 >][-C< 字 节 >][-I< 行 数 >][ 要 切割 的 文件 ][ 输 出 
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使 用 说 明 : split 可 将 文件 切 成 较 小 的 文件 ， 预 设 每 1000 行 会 切 成 一 个 小 文件 。 
参数 : 


slocate 


-< 行 数 > 或 -1< 行 数 >: 指定 每 多 少 行 就 要 切 成 一 个 小 文件 。 

-D< F>: 指定 每 多 少 字 束 要 切 成 一 个 小 文件 。 

-C«r Hn»: 与 -b 参数 类 似 ， 但 切割 时 尽量 维持 每 行 的 完整 性 。 

-help: 显示 帮助 。 

--Version: 显示 版 本 信息 。 

输出 文件 名 ， 设 置 切 割 后 文件 的 前 置 文件 名 ，split 会 目 动 在 前 置 文 件 名 后 再 加 上 编号 。 

















功能 说 明 : 奏 找 文件 或 目录 。 

语法 : slocate [-u][--help][--version][-d« H 2&»][£ 3X K 3c fF] 

使 用 说 明 : slocate 本 号 具有 一 个 数据 库 ， 里 面 存 放 了 系统 中 文件 与 目录 的 相关 信息 。 
参数 : 


rm 

















-d< 目 录 > 或 --database=< 目 录 >: 指定 数据 库 所 在 的 目录 。 
-u: Hr slocate 数据 库 。 

-help: 显示 帮助 。 

--version: 显示 版 本 信息 。 





功能 说 明 : 删除 文件 或 目录 。 

语法 : rm [-dfirv][--help][--version][ 文 件 或 目录 ...] 

使 用 说 明 : 执行 rm 指令 可 删除 文件 或 目录 ， 如 和 欲 删除 目录 必须 加 上 参数 “-r”， 否 则 预 设 
仅 删 除 文件 。 

参数 : 


rhmask 








-d 或 --directory: 直接 把 欲 删除 的 目录 的 便 连 接 数 据 删 成 0， 删 除 访 目录 。 

-f 或 --force: 强制 删除 文件 或 目录 。 

-i 或 --interactive: 删除 既 有 文件 或 目录 之 前 先 询问 用 户 。 

-了 或 -R 或 --recursive: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 隶 一 并 处 理 。 
-v Ek--verbose: 显示 指令 的 执行 过 程 。 

--help: ÆRE H. 

--version: 显示 版 本 信息 。 

















功能 说 明 : 产生 与 还 原 加 密 文 件 。 
语法 : rhmask [加 密 文 件 ][ 输 出 文件 ] B: rhmask [-dj][ 加 密 文 件 ][ 源 文件 ][ 输 出 文件 ] 
使 用 说 明 : 执行 rhmask 指令 可 制作 加 密 过 的 文件 ， 方 便 用 户 在 公开 的 网 络 上 传输 该 文件 ， 








而 不 全 于 被 任意 盗用 。 
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参数 : 
a -d: 产生 加 密 过 的 文件 。 





rcp 





功能 说 明 : 远 端 复制 文件 或 目录 。 

语法 : rep [-pr][ 源 文件 或 目录 ][ 目 标 文件 或 目录 ] 或 : rep [-prj[ 源 文件 或 目录 .…][ 目 标 文 件 ] 

使 用 说 明 : rep 指令 用 在 远 端 复制 文件 或 目录 ， 如 同时 指定 两 个 以 上 的 文件 或 目录 ， 且 最 后 
的 目的 地 是 一 个 已 经 存在 的 目录 ， 则 它 会 把 前 面 指定 的 所 有 文件 或 目录 复制 到 该 目录 中 。 

参数 : 

mn -p: 你 留 源 文件 或 目录 的 属性 ， 包 括 拥 有 者 、 所 属 群 组 、 权 限 与 时 间 。 

ao r: 递归 处 理 ， 将 指定 目录 下 的 文件 与 子 目 录 一 并 处 理 。 
patch 

功能 说 明 : 修补 文件 。 

语法 : patch [-bceEflnNRstTuvZ][-B< 备 份 字 首 字符 串 >][-d< 工 作 目 录 >][-D< 标 示 符 扎 >][-F< 
监 列 列 数 >][-g< 探 制 数值 >][-i 放 修补 文件 >][-o< 和 输出 文件 >][-p< 和 剥离 层级 >][-r< 拒 绝 文 件 >][-V< 备 份 
方式 >][-Y< 备 份 字 首 字 人 符 串 >][-z< 备 份 字 尾 字 人 符 串 >][--backup-if: -mismatch][--binary][--help] 
[--nobackup-ifmismatch][--verbose][ 原 始 文件 < 修补 文件 >] 

Bk: path [-p< 和 剥离 层级 >]< [修补 文件 ] 

使 用 说 明 : patch 指令 让 用 户 利 用 设置 修补 文件 的 方式 ， 修 改 、 更 新 原始 文件 。 倘 奋 一 次 仅 
修改 一 个 文件 ,可 直接 在 指令 列 中 下 达 指 令 依 序 执行 。 如 果 配 合 修补 文件 的 方式 则 能 一 次 修补 大 
批文 件 ， 这 也 是 Linux 系统 核心 的 升级 方法 之 一 。 

参数 : 

a ”-b 或 --backup: 备份 每 一 个 原始 文件 。 

a  -B< 备 份 字 首 字符 串 > 或 --prefix=< 备 份 字 首 字符 串 >: 设置 文件 备份 时 ， 附 加 在 文件 名 称 

表面 的 学 首 字 符 串 ， 访 字符 串 可 以 是 路 径 名 称 。 

a  -cHX-context: 把 修补 数据 编译 成 关联 性 的 差 卉 。 

» ”-d< 工 作 目 录 > 或 --directory=< 工 作 目 录 >: 设置 工作 目录 。 

a -D< 标 示 符 号 > 或 --ifde 伟 < 标示 符号 >: 用 指定 的 从 号 把 改变 的 地 方 标示 出 来 。 

a -e 或 --ed: 把 修补 数据 解 译 成 ed 指令 可 用 的 叙述 文件 。 

» -E E--remove-empty-files: 硅 修 补 过 后 输出 的 文件 其 内 容 是 一 片 空 日 ， 则 移 除 该 文件 。 

a 地 或 --force: 此 参数 的 效果 和 指定 “-t” 参 数 类 似 ， 但 会 假设 修补 数据 的 版 本 为 狐 版 本 。 

a -FEF< 监 列 列 数 > 或 --fnzz< 监 别 列 数 >: 设置 监 别 列 数 的 最 大 值 。 

a — -g< 控 制 数 值 > 或 --ge 人 < 控制 数值 >: 设置 以 RSC 或 SCCS 控制 修补 文件 。 

a -i< 修 和 补 文件 > 或 --input=< 修 补 文件 >: 读 取 指定 的 修补 文件 。 

a  -| 或 --ignore-whitespace: 忽略 修补 数据 与 输入 数据 的 罕 格 字符 。 

a -0 或 --normal: 把 修补 数据 编译 成 一 般 性 的 甜 开 。 

a — -N 或 --forward: 忽略 修补 的 数据 较 原 始 文件 的 厂 本 更 旧 ,， 或 该 版本 的 修补 数据 已 使 用 过 。 

a -0< 输 出 文件 > 或 --output=< 输 出 文件 >: 设置 输出 文件 的 名 称 , 修补 过 的 文件 会 以 该 名 称 
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存放 。 

ma  -p< 和 剥离 层级 > 或 --strip=< 和 剥离 层级 >: 议 置 欲 剥 离 几 层 路 径 名 称 。 

a -人 < 拒绝 文件 > 或 --reject-file=< 拒 绝 文件 >: 设置 保存 拒绝 修补 相关 信息 的 文件 名 称 ， 预 
设 的 文件 名 称 为 .rej。 

a  -R 或 --reverse: 假设 修补 数据 是 由 新 旧 文 件 交 换 位 置 而 产生 。 

=  -S 或 --quiet 或 --silent: 不 显示 指令 执行 过 程 ， 除 非 发 生 错 误 。 

a -或 --batch: 目 动 略 过 销 误 ， 不 询问 任何 问题 。 

a  -T X-set-time: 此 参数 的 效果 和 指定 “-Z” 参 数 类 似 ， 但 以 本 地 时 间 为 主 。 

a  -u X--unified: 把 修补 数据 编译 成 一 八 化 的 差 寞 。 

s ”-V 或 --version: 显示 版 本 信息 。 

mn -V— T1 JI XN» Ek--version-control-—4 57; 3X»: 用 “-b” 参 数 备份 目标 文件 后 ， 备 份 文 
件 的 字 尾 会 被 加 上 一 个 备份 字符 串 ， 这 个 字符 串 不 仪 可 用 “-z” 参 数 变 更 ， 当 使 用 “-V” 
参数 指定 不 同 备份 方式 时 ， 也 会 产生 不 同学 尾 的 备份 字符 串 。 

m -Y«&U 3 B 3 4 B72X--basename-prefix---—$& A146 B 8] 82s 设置 文件 备份 时 ， 附 加 
在 文件 基本 名 称 开 头 的 字 首 字符 串 。 

a -Z< 备 份 字 尾 字符 串 > 或 --suffix=< 备 份 字 尾 字 人 符 串 >: 此 参数 的 效果 和 指定 "-B" 参 数 类 似 ， 
关 别 在 于 修补 作业 使 用 的 路 径 与 文件 名 大 为 src/linux/fs/super.c， 加 上 "backup/" 学 符 串 
后 ， 文 件 super.c 会 备份 于 /src/linux/fs/backup 目录 中 。 

a -2Z 或 --set-utc: 把 修补 过 的 文件 更 改 ， 存 取 时 间 设 为 UTC. 

= — -backup-if-mismatch: 在 修补 数据 不 完全 吻合 ， 且 没有 刻意 指定 要 备份 文件 时 ， 才 备份 
Ns 

» ”--binary: 以 二 进 制 模式 读 写 数据 ， 而 不 通过 标准 输出 设备 。 

= ”--help: 在 线 帮助 。 

a — -nobackup-if-mismatch: 在 修补 数据 不 完全 吻合 ， 且 没有 刻意 指定 要 备份 文件 时 ， 不 要 
备份 文件 。 

=  --verbose: 详细 显示 指令 的 执行 过 程 。 



















































































paste 


0d 


功能 说 明 : 合并 文件 的 列 。 

语法 : paste [-s][ -d«IR] Bj £j J[--help][--version][ 3C fT-...] 

使 用 说 明 : paste 指令 会 把 每 个 文件 以 列 对 列 的 方式 ， 一 列 列 地 加 以 合并 。 

参数 : 

a -qd< 辣 隔 字 人 符 > 或 --delimiters=< 间 隅 字符 >: 用 指定 的 间隔 字符 取代 跳 格 字符 。 
a  -s 或 --serial: 串 列 进行 而 非 平行 处 理 。 

= ”--help: 在 线 帮助 。 


a version: 显示 帮助 信息 。 











功能 说 明 : 输出 文件 内 容 。 
语法 : od [-abcdfhilovx]L-A< 字 码 基 数 >][-j< 字 符 数目 >]LN< 字 符 数目 >][L-s< 字 符 串 字符 
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数 >][-t< 输 出 格式 >][-w< 每 列 学 符 数 >][--help][--version][ 文 件 ..….] 


使 用 说 明 : od 指令 会 谈 取 所 给 予 的 文件 的 内 容 ， 并 将 其 内 容 以 八进制 学 码 呈 现 出 来 。 
参数 : 

a -a 此 参数 的 效果 和 同时 指定 “-ta” 参 数 相同 。 

a -ACF ER>: 选择 要 以 何 种 基数 计算 学 人 码 。 

a ”-b: 此 参数 的 效果 和 同时 指定 “-toC” 人 参数 相同 。 

a -c: 此 参数 的 效果 和 同时 指定 “-tC” 参 数 相 同 。 

a -d: 此 参数 的 效果 和 同时 指定 “-tn2” 参 数 相 同 。 

a -f 此 参数 的 效果 和 同时 指定 “-ttF” 人 参数 相同 。 

a -h: 此 参数 的 效果 和 同时 指定 “-tx2” 参 数 相 同 。 

a -i 此 参数 的 效果 和 同时 指定 “-td2” 人 参数 相同 。 

a -j< 字 人 符 数 目 > 或 --skip-bytes=< 字 人 符 数 目 >: 上 略 过 设置 的 字符 数目 。 

a -k 此 参数 的 效果 和 同时 指定 “-td4” 参 数 相 同 。 

a 。  -N< 字 人 符 数 目 > 或 --Tead-bytes=< 字 人 符 数 目 >: 到 设置 的 字符 数目 为 止 。 

a ”-0; 此 参数 的 效果 和 同时 指定 “-to2” 参 数 相 同 。 

a -S< 字 人 符 串 学 符 数 > 或 --strings=< 学 符 串 学 符 数 >: 只 显示 符合 指定 的 字符 数目 的 字符 串 。 
n -t< 输 出 格式 > 或 --format=< 输 出 格式 >: 设置 输出 格式 。 

= -y 或 --output-duplicates: 输出 时 不 省 略 重 复 的 数据 。 

a -WEYI FE REC B --width-—REZJ- EC: 设置 每 列 的 最 大 字符 数 。 

a -x: 此 参数 的 效果 和 同时 指定 “-h” 人 参数 相同 。 

2» — —help: 在 线 帮助 。 


a ”--Version: 显示 版 本 信息 。 











功能 说 明 : 移动 或 更 名 现 有 的 文件 或 目录 。 

语法 : mv [-bfiuv][--help][--version][-S< 附 加 季 尾 >][-V< 方 法 >][ 源 文件 或 目 杂 ][ 目 标 文件 或 目录 ] 

使 用 说 明 : mv 指令 可 移动 文件 或 目录 ， 或 是 更 改 文件 或 目录 的 名 称 。 

参数 : 

=  -b 或--backup: 知 需 履 盖 文 件 ， 则 禾 盖 前 先进 行 备份 。 

a 二 或 --force: 奋 目标 文件 或 目录 与 现 有 的 文件 或 目录 重复 , DU] ECBEAE us BUE BI SCTERK Ho 

am ” -i 或 --interactive: 48 ni HI jcw i] Hj) « 

a  -S< 附 加 字 尾 > 或 --suffix=< 附 加 字 尾 >: 与 -b 参数 一 并 使 用 ， 可 指定 备份 文件 的 所 要 附加 
的 学 尾 。 

»  -U 或 --update: 在 移动 或 更 改 文件 名 时 ， 大 目标 文件 已 存在 ， 且 其 文件 日 期 比 源 文件 新 ， 
则 不 敌 兰 目标 文件 。 

a -y 或 --verbose: 执行 时 显示 话 细 的 信息 。 

a ”-V=< 方 法 > 或 --version-control=< 方 法 >: 与 -b 参数 一 并 使 用 ， 可 指定 备份 的 方法 。 

2» — -help: 显示 帮助 。 


a version: 显示 版 本 信息 。 
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mktemp 

功能 说 明 : 建立 暂 存 文件 。 

语法 : mktemp [-qu][ 文 件 名 参数 ] 

使 用 说 明 : mktemp 指令 可 建立 一 个 暂 存 文件 ， 供 shellscript 使 用 。 

参数 : 

a -q 执行 时 看 发 生 错 误 ， 不 会 显示 任何 信息 。 

a u: 暂 存 文件 会 在 mktemp 结束 前 先 删 除 。 

a 文件 名 参数 : 文件 名 参数 必须 是 以 “ 自 定 名 称 .XXXXXX” 的 格式 。 
lsattr 

功能 说 明 : 显示 文件 属性 。 

语法 : lsattr [-adIRv V] XC £F sy H 3&...] 

使 用 说 明 : 用 chattr 执行 改变 文件 或 目录 的 属性 ， 可 执行 lsattr 指令 人 查询 其 属性 。 

参数 : 

a -a 显示 所 有 文件 和 目录 ， 包 括 以 “.” 为 名 称 开 头 字 人 符 的 额外 内 建 、 现 行 目录 “.” 与 

LEH "SU. 

a  -d: 显示 目录 名 称 ， 而 非 其 内 容 。 

a -: 此 参数 目前 没有 任何 作用 。 

mn — -R: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 

ma  -V: 显示 文件 或 目录 版 本 。 

w -V 显示 版 本 信息 。 
locate 

功能 说 明 : ARL. 

语法 : locate [-d< 数 据 库 文件 >][--help][--version][ 沁 本 样式 ...] 

使 用 说 明 : locate 指令 用 于 查找 符合 条 件 的 文件 ， 它 会 在 保存 文件 与 目录 名 称 的 数据 库 中 ， 
合 找 合乎 范本 样式 条 件 的 文件 或 目录 。 

参数 : 

mn  -d< 数 据 库 文 件 > 或 --database=< 数 据 库 文件 >: 设置 locate 指令 使 用 的 数据 库 。locate 指 

令 预 设 的 数据 库 位 于 /var/lib/slocate 目录 中 ， 文 件 名 为 slocate.db， 您 可 使 用 该 参数 另行 





















































指定 。 
= — -help: 在 线 帮助 。 
a — -version: "Wh s 


file 
功能 说 明 : NEWIXOTEZSTU, 
语法 : file [-beLvz][- 八 名 称 文件 >][-m< 厅 法 数字 文件 >.….][ 文 件 或 目录 …] 
使 用 说 明 : 通过 file 指令 ， 我们 得 以 辨识 该 文件 的 类 型 。 
人 参数: 
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a — -b: 列 出 辨识 结果 时 ， 不 显示 文件 名 称 。 
a ”-c: 详细 显示 指令 的 执行 过 程 ， 便 于 排 错 或 分 析 程 序 执行 的 情形 。 
sa ERL: 指定 名 称 文件 ， 其 内 容 有 一 个 或 多 个 文件 名 称 ， 让 file 依 序 辨识 这 些 文 
件 ， 格 式 为 每 列 一 个 文件 名 称 。 
a -L: 直接 显示 符号 连接 所 指向 的 文件 的 类 别 。 
sa -Im< 魔 法 数字 文件 >: 指定 魔法 数字 文件 。 
aoo ov: 显示 版 本 信息 。 
a o-z 尝试 去 解读 压缩 文件 的 内 容 。 
diffstat 
功能 说 明 : 根据 diff 的 比较 结果 ， 显 示 统 计数 字 。 
语法 : diff [-wV][-n< 文 件 名 长 度 >][-p< 文 件 名 长 度 >] 
使 用 说 明 : diffstat 读 取 diff 的 输出 结果 ， 然 后 统计 各 文件 的 插入 、 删 除 、 修 改 等 差异 计量 。 
参数 : 
a ”-n< 文 件 名 长 度 >: 指定 文件 名 长 度 , 指定 的 长 度 必 须 大 于 或 等 于 所 有 文件 中 最 长 的 文件 名 。 
a ” -p< 文件 名 长 度 >: 与 -n 参数 相同 ， 但 此 处 的 “文件 名 长 度 ” 包 括 了 文件 的 路 径 。 
a -w 指定 输出 时 栏 位 的 宽度 。 
" -Vi 显示 版 本 信息 。 























cat 





功能 说 明 : 显示 文件 内 容 。 

语法 : cat [-AbeEnstTuv][--help][--version]fileName: 

使 用 说 明 : 把 档案 串 连 接 后 传 到 基本 输出 〈( 屏 舌 或 加 fileName 输出 到 为 一 个 档案 ) 。 
参数 : 

a -hn 或 --number 由 : 1 开始 对 所 有 输出 的 行 数 编号 。 

=  -b 或 -number-nonblank: 和 -n 相似 ， 只 不 过 对 于 空 日 行 不 编号 。 

a -s 或 --squeeze-blank: 当中 到 有 连续 两 行 以 上 的 空 日 行 ， 束 瞧 换 为 一 行 的 空 日 行 。 
s  -VEX-show-nonprinting: 显示 版 本 信息 。 














chattr 

功能 说 明 : 改变 文件 属性 。 

语法 : chattr [-RV][-v< 版 本 编号 >][+/- 二 < 属性 >][ 文 件 或 目录 …] 

使 用 说 明 : chattr 指令 可 改变 存放 在 ext2 文件 系统 上 的 文件 或 目录 属性 ， 这 些 属性 共有 以 下 
8 种 模式 。 














: 让 文件 或 目录 仪 供 附加 用 途 。 

: 不 更 新 文件 或 目录 的 最 后 存 取 时 间 。 
: 将 文件 或 目录 压缩 后 存放 。 

: 将 文件 或 目录 排除 在 倾倒 操作 之 外 。 
: 不 得 任意 改动 文件 或 目录 。 

: 保密 性 删除 文件 或 目录 。 
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a S: 即时 更 新 文件 或 目录 。 
E u: 了 预防 意外 删除 。 





a -R: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 

mn ”-V< 有 版 本 编写 >: 设置 文件 或 目录 版 本 。 

mn -V: 显示 指令 执行 过 程 。 

a ”十 < 属性 >: 开局 文件 或 目录 的 该 项 属性 。 

a -< 属性 >: 关闭 文件 或 目录 的 该 项 属性 。 

a ”=< 属性 >: 指定 文件 或 目录 的 该 项 属性 。 
chgrp 

功能 说 明 : 变更 文件 或 目录 的 所 属 群 组 。 

语法 : chgrp [-cfhRv][--help][--version][ 所 属 群 组 ][ 文 件 或 目录 ...] 

Hk: chgrp [-cfhRv][--help][--reference=< 参 考 文件 或 目录 >][--version][ 文 件 或 目录 ...] 

使 用 说 明 : 在 UNIX 系统 家 族 里 ， 文 件 或 目录 权限 的 掌控 以 拥有 者 及 所 属 群 组 来 管理 。 您 可 
以 使 用 chgrp 指令 去 变更 文件 与 目录 的 所 属 群 组 ， 设 置 方式 采用 群 组 名 称 或 群 组 识别 码 均 可 。 

参数 : 

a -Cc 或 --changes: 效果 类 似 “-v” 参 数 ， 但 仅 返 回 更 改 的 部 分 。 

a — -Í E--quiet 或 --silent: 不 显示 错误 信息 。 

a -h 或 --no-dereference: 只 对 符号 连接 的 文件 作 修 改 ， 而 不 改动 其 他 任何 相关 文件 。 

a  -R 或 --recursive: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 

a  -VEX-verbose: 显示 指令 的 执行 过 程 。 

a — --help: 在 线 帮 助 。 

a — --reference=< 参 考 文 件 或 目录 >: 把 指定 文件 或 目录 的 所 属 群 组 全 部 设 成 和 参考 文件 或 

目录 的 所 属 群 组 相同 。 

mn ”--Version: 显示 版 本 信息 。 
find 

功能 说 明 : 查找 文件 或 目录 。 

语法 : find [目录 .…][-amin< 分 钟 >][-anewer< 参 考 文 件 或 目录 >][-attime<24 小 时 数 >][-cmin< 分 
钟 >][-cnewer< 参 考 文 件 或 目录 >][-ctime<24 小 时 数 >][-daystart][-depth][-empty][-exec< 执 行 指 
令 >][-false][-fls< 列 表 文 件 >][-follow][-fprint< 列 表 文 件 >][-fprint0< 列 表 文 件 >][-fprintf< 列 表 文 件 > 
< 输出 格式 >][-fstype< 文 件 系统 类型 >][-gid< 群 组 识别 但 >][-group< 和 群 组 名 称 >][-help][-ilname< 范 本 
样式 >][-iname< 范 本 样式 >][-inum<inode 编号 >][-ipath< 范 本 样式 >][-iregex< 范 本 样式 >][-links< 连 
接 数 目 >][-Iname< 范 本 样式 >][-ls][-maxdepth< 目录 层级 >][-mindepth< 目录 层级 >][-mmin< 分 
钟 >][-mount][-mtime<24 小 时 数 >][-name< 范本 样式 >][-newer< 2 #4 x ffb gk H 
录 >][-nogroup][noleaf][-nouser][-ok< 执行 指令 >][-path< 范本 样式 >][-permn< 权限 数 
值 >][-print][-print0][-printf< 输 出 格式 >][-prune][-regex< 范 本 样式 >][-size< 文 件 大 小 >][-true][-type< 文 
件 类 型 >][-uid< 用 户 识别 码 >][-used< 日 数 >][-user< 拥 有 者 名 称 >][-version][-xdev][-xtype< 文 件 类 型 >] 

































































附录 A 
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使 用 说 明 : find 指令 用 于 奉 找 符合 条 件 的 文件 。 任 何 位 于 参数 之 前 的 字符 串 都 将 被 视 为 欲 得 
找 的 目录 。 
参数 : 








-amin< 分 钟 >: 会 找 在 指定 时 间 曾 被 存 取 过 的 文件 或 目录 ， 早 位 以 分 钟 计算 。 
-anewer< 参 考 文件 或 目录 >: 全 找 其 存 取 时 间 较 指定 文件 或 目录 的 存 取 时 间 更 接近 现在 
的 文件 或 目录 。 

-atime<24 小 时 数 >: 码 找 在 指定 时 间 曾 被 存 取 过 的 文件 或 目 了 水 ， 单 位 以 24 小 时 计算 。 
-cmin< 分 钟 >: 查找 在 指定 时 间 之 时 被 更 改 的 文件 或 目录 。 

-cnewer< 参 考 文件 或 目录 >: 但 找 其 更 改 时 间 较 指定 文件 或 目录 的 更 改 时 间 更 接近 现在 
的 文件 或 目录 。 

-ctime<24 小 时 数 >: 码 找 在 指定 时 间 之 时 被 更 改 的 文件 或 目录 ， 单 位 以 24 小 时 计算 。 
-daystart: 从 本 日 开始 计算 时 间 。 

-depth: 从 指定 目 孙 下 了 最 深层 的 子 目 录 开 始 合 找 。 

-empty: 寻找 文件 大 小 为 0Byte 的 文件 ， 或 目录 下 没有 任何 子 目 孙 或 文件 的 空 目录 。 
-exec< 执 行 指 令 >: 假设 find 指令 的 回 传 值 为 True， 则 执行 该 指令 。 

-false: 将 find 15-9 If] [p e [E Pf 7y False. 

-fls< 列 表 文 件 >: 此 参数 的 效果 和 指定 “-ls” 参 数 类 似 , 但 会 把 结果 保存 为 指定 的 列表 文件 。 
-follow: 排除 符号 连接 。 

-fprint< 列 表 文 件 >: 此 参数 的 效果 和 指定 “-print” 参 数 类 似 ， 但 会 把 结果 保存 成 指定 的 
列表 文件 。 

-fprint0< 列 表 文 件 >: 此 参数 的 效果 和 指定 “-print0” 参 数 类 似 ， 但 会 把 结果 保存 成 指定 
的 列表 文件 。 

-fprint 人 < 列表 文件 >< 输 出 格式 >: 此 参数 的 效果 和 指定 “-printf” 参 数 类 似 ， 但 会 把 结果 
保存 成 指定 的 列表 文件 。 

-fstype< 文 件 系 统 类 型 >: 只 寻找 该 文件 系统 类 型 下 的 文件 或 目录 。 

-gid< 和 群 组 识别 码 >: 三 找 符 合 指定 的 群 组 识别 码 的 文件 或 目录 。 

-group< 和 群 组 名 称 >: 三 找 符合 指定 的 群 组 名 称 的 文件 或 目录 。 

-help 或 --help: 在 线 帮助 。 

-ilname< 范 本 样式 >: 此 参数 的 效果 和 指定 “-Iname” 参 数 类 似 ,但 忽略 字符 大 小 写 的 差别 。 
-iname< 范 本 样式 >: 此 参数 的 效果 和 指定 “-name ”参数 类 似 , 但 忽略 字符 大 小 写 的 差别 。 
-inum<inode 编号 >: ARETE H inode 编写 的 文件 或 目录 。 

-ipath< 范 本 样式 >: 此 参数 的 效果 和 指定 “-ipath” 人 参数 类 似 , 但 忽略 字符 大 小 写 的 差别 。 
-iregex< 范 本 样式 >: 此 参数 的 效果 和 指定 “-regexe” 参 数 类 似 ， 但 忽略 字符 大 小 写 的 差别 。 
-links< 连 接 数 目 >: 答 找 符合 指定 的 便 连 接 数 目的 文件 或 目录 。 

-lname< 沁 本 样式 >: 指定 字符 串 作 为 寻找 符号 连接 的 范本 样式 。 

-ls: 假设 find 指令 的 回 传 值 为 Trme， 束 将 文件 或 目录 名 称 列 出 到 标准 输出 。 
-maxdepth< 目 录 层 级 >: 设置 最 大 目录 层级 。 

-mindepth< 目 孙 层 级 >: 设置 最 小 目录 层级 。 

-mmin< 分 钟 >: 得 找 在 指定 时 间 曾 被 更 改过 的 文件 或 目录 ， 单 位 以 分 钟 计 算 。 
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» —-mount: 此 参数 的 效 末 和 指定 “-xdev” 相 同 。 

»  -mtime-24 小 时 数 >: 奏 找 在 指定 时 间 曾 被 更 改过 的 文件 或 目录 ， 单 位 以 24 小 时 计算 。 

a ” -name< 沁 本 样式 >: 指定 字符 串 作 为 寻找 文件 或 目录 的 范本 样式 。 

a -newer< 参 考 文件 或 目录 >: 得 找 其 更 改 时 间 较 指定 文件 或 目录 的 更 改 时 间 更 接近 现在 的 
文件 或 目录 。 

a  -nogroup: 找 出 不 属于 本 地 主机 群 组 识别 码 的 文件 或 目录 。 

4»  -noleaf: 不 去 考 碟 目录 至 少 需 拥有 两 个 便 连 接 存 在 。 

a  -nouser: 找 出 不 属于 本 地 主机 用 户 识别 码 的 文件 或 目录 。 

a ”-Ok< 执 行 指 令 >: 此 参数 的 效果 和 指定 “-exec” 参 数 类 似 ， 但 在 执行 指令 之 前 会 先 询 问 
用 户 ， 奋 回答 “y” 或 “Y”， 则 放弃 执行 指令 。 

a -path< 范 本 样式 >: 指定 字符 串 作 为 寻找 目录 的 范本 样式 。 

a -perm< 权 限 数值 >: 仁 找 从 合 指 定 的 权限 数值 的 文件 或 目录 。 

a — -print: 假设 find 指令 的 回 传 值 为 Tme， 则 将 文件 或 目录 名 称 列 出 到 标准 输出 。 格 式 为 
每 列 一 个 名 称 ， 每 个 名 称 之 前 备 有 “./” 孚 符 串 。 

a  -print0: 假设 find 指令 的 回 传 值 为 True， 则 将 文件 或 目录 名 称 列 出 到 标准 和 输出。 格式 为 
全 部 的 名 称 均 在 同一 行 。 

a -printf< 输 出 格式 >: 假设 find 指令 的 回 传 值 为 True, 则 将 文件 或 目录 名 称 列 出 到 标准 输 
出 。 格 式 可 以 目 行 指定 。 

a  -prune: 不 寻找 字符 串 作 为 寻找 文件 或 目 孙 的 范本 样式 。 

a ” -regex< 沁 本 样式 >: 指定 字符 串 作 为 寻找 文件 或 目录 的 范 本 样式 。 

nm ”-size< 文 件 大 小 >: 碍 找 符 合 指定 的 文件 大 小 的 文件 。 

a -true: 将 find RS IJ IRE IS True. 

a -typ< 文 件 关 型 >: 只 寻找 符合 指定 的 文件 类 型 的 文件 。 

a -uid< 用 户 识别 码 >: 但 找 符合 指定 的 用 户 识 别人 码 的 文件 或 目录 。 

a ” -used< 日 数 >: 但 找 文 件 或 目录 被 更 改 之 后 在 指定 时 间 曾 被 存 取 过 的 文件 或 目录 ， 蛙 位 






































































































































以 日 计算 。 
a  ”-user< 拥 有 者 名 称 >: 奉 找 符 合 指定 的 拥有 者 名 称 的 文件 或 目录 。 
a -version 或 --version: 显示 版 本 信息 。 





»  -xdev: 将 泡 围 局 限 在 先行 的 文件 系统 中 。 
» -Xxtype< 文 件 尖 型 >: 此 参数 的 效 来 和 指定 “-type” 参 数 关 似 ， 差 别 在 村 它 针 对 符 亏 连接 
Afr. 





cksum 


功能 说 明 : 检查 文件 的 CRC 是 人 否 正 确 。 

语法 : cksum [--help][--version][ 文 件 …] 

使 用 说 明 : CRC 是 一 种 排 错 检 醋 方 式 ， 放 演 算法 的 标准 由 CCITT 所 指定 ， 全 少 可 检测 到 
99.998% 的 已 知 错误 。 指 定 文 件 交 由 cksum 演算 ， 它 会 回报 计算 结果 ， 供 用 户 核 对 文件 是 否 正确 
无 误 。 辱 不 指定 任何 文件 名 称 或 是 所 给 予 的 文件 名 为 “-”， 则 cksum 指令 会 从 标准 输入 设备 读 
取 数 据 。 
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= — —help: 在 线 帮助 。 
mn ”--Version: 显示 版 本 信息 。 
gitview 
功能 说 明 : Hex/ASCII 的 观看 文件 程序 。 
语法 : gitview [-bchilv][ 文 件 ] 
使 用 说 明 : gitview 指令 可 用 于 观看 文件 的 内 容 ， 它 会 同时 显示 十 六 进 制 和 ASCII TASA R3. 
参数 : 
n -b 单 色 模式 ， 不 使 用 ANSI 控制 码 显 示 彩 色 。 
a o-c: 彩色 模式 ， 使 用 ANSI 控制 码 显 示 色 彩 。 
" ch: 在 线 帮助 。 
a -i 显示 存放 gitview 程序 的 所 在 位 置 。 
a -l 不 使 用 先前 的 显示 字符 。 
a ”-V: 显示 版 本 信息 。 
cmp 
功能 说 明 : 比较 两 个 文件 是 否 有 委 异 。 
语法 : cmp [-clsv][-i< 字 人 符 数 目 >][--help][ 第 一 个 文件 ][ 第 二 个 文件 ] 
使 用 说 明 : 当 相 互 比较 的 两 个 文件 完全 一 样 时 ， 则 该 指令 不 会 显示 任何 信息 。 奉 发 现 有 所 产 
寞 ， 预 设 会 标示 出 第 一 个 不 同 之 处 的 字符 和 列 数 编 写 。 夺 不 指定 任何 文件 名 称 或 是 所 给 了 予 的 文件 
名 为 “-”， 则 cmp 指令 会 从 标准 输入 设备 读 取 数据 。 
参数 : 
a — -CcEX--print-chars: 除了 标明 差异 处 的 十 进 制 学 码 之 外 ， 一 并 显示 该 字符 所 对 应 的 字符 。 
a -i< 字 人 符 数 目 > 或 --ignore-initial=< 学 符 数 目 >: 指定 一 个 数目 。 
a  -D 或 --verbose: 标示 出 所 有 不 一 样 的 地 方 。 
a — -S 或 --quiet 或 --silent: 不 显示 错误 信息 。 
& -y 或 --version: 显示 有 版 本 信息 。 
= ”--help: 在 线 帮助 。 
indent 
功能 说 明 : 调整 C 原始 代码 文件 的 格式 。 
语法 : indent [参数 ][ 源 文件 ] 或 : indent [参数 ][ 源 文件 ][-o: 目标 文件 ] 
使 用 说 明 : indent 可 辨识 C 的 原始 代码 文件 ， 并 加 以 格式 化 ， 以 方便 程序 设计 师 阅 读 。 
参数 : 
= -bad 或 --blank-lines-after-declarations: 在 声明 区 段 后 加 上 空白 行 。 
= -bap 或 --blank-lines-after-procedures: 在 程序 后 加 上 空白 行 。 
= -bbb 或 --blank-lines-after-block-comments: 在 注释 区 段 后 加 上 空白 行 。 
= -bc 或 --blank-lines-after-commas: 在 声明 区 上 段 中 ， 夺 出现 逗号 即 换行 。 
= -bl 或 --braces-after-if-line: if( 或 是 else, for 等 ) 与 后 面 执行 区 段 的 “{” 不 同行 ， 且 “}” 
539 
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目 成 一 行 。 

-bli< 缩 排 格 数 > 或 --brace-indent< 纵 排 格 数 >: 设置 “{” PY ERR 

-br 或 --braces-on-if-line: 让 (或 是 else、for 等 ) 与 后 面 执行 区 段 的 “{” AA T, H y” 
HJ —1T. 

-bs 或 --blank-before-sizeof: 在 sizeof 之 后 空 一 格 。 

-c< 栏 数 > 或 --comment-indentation< 栏 数 >:， 将 注释 置 于 程序 但 右 侧 指定 的 栏 位 。 

-cd< 柱 数 > 或 --declaration-comment-column< 柱 数 >: 将 注释 置 于 声明 右 侧 指定 的 栏 位 。 
-cdb 或 --comment-delimiters-on-blank-lines: 注释 符号 目 成 一 行 。 

-ce 或 --cuddle-else: 将 else 置 于 “2”《〈 计 执行 区 段 的 结尾 ) 之 后 。 

-ci< 缩 排 格 数 > 或 --continuation-indentation< 缩 排 格 数 >: 叙述 过 长 而 换行 时 ,指定 换行 后 
ZR TE IPIE AR 

-cli< 缩 排 格 数 > 或 --case-indentation-< 缩 排 格 数 >: 使 用 case 时 ，switch 缩 排 的 格 数 。 
-cp< 栏 数 > 或 -else-endif-column< 栏 数 >， 将 注释 置 于 else 与 elseif 叙述 右 侧 指定 的 栏 位 。 
-cs 或 --Space-after-cast: 在 cast Z Ja TIE o 

-d< 缩 排 格 数 > 或 -line-comments-indentation< 缩 排 格 数 >: 针对 不 是 放 在 程序 码 右 侧 的 注 
E KARHE ŽL 

-di< 栏 数 > 或 --declaration-indentation< 位 数 >: 将 声明 区 段 的 变量 置 于 指定 的 栏 位 。 

-fcl 或 --format-first-column-comments: 针对 放 在 每 行 最 前 器 的 注释 ， 设 置 其 格式 。 

-fca 或 --format-all-comments: 设置 所 有 注释 的 格式 。 

-gnu 或 --gnu-style: 指定 使 用 GNU 的 格式 ， 此 为 预 设 值 。 

-i< 格 数 > 或 --indent-level< 格 数 >: 设置 缩 排 的 格 数 。 

-ip< 格 数 > 或 --parameter-indentation< 格 数 >: 设置 参数 的 缩 排 格 数 。 

-kr 或 --k-and-r-style: 指定 使 用 Kernighan&Ritchie 的 格式 。 

-lp 或 --continue-at-parentheses: 哲 述 过 长 而 换行 ， 且 叙述 中 包含 了 括 弧 时 ， 将 括 弧 中 的 
每 行 起 始 栏 位 内 容重 下 对 章 排列 。 

-nbad 或 --no-blank-lines-after-declarations: 在 声明 区 段 后 不 要 加 上 空白 行 。 

-nbap 或 --no-blank-lines-after-procedures: 在 程序 后 不 要 加 上 空白 行 。 

-nbbb 或 --no-blank-lines-after-block-comments: 在 注释 区 段 后 不 要 加 上 空白 行 。 

-nbc 或 --no-blank-lines-after-commas: 在 声明 区 段 中 ， 即 使 出 现 逗 号， 仍旧 不 要 换行 。 
-ncdb 或 --no-comment-delimiters-on-blank-lines: 注释 符号 不 要 目 成 一 行 。 

-nce 或 --dont-cuddle-else: 不 要 将 else 置 于 “} ”之 后 。 

-ncs 或 --no-Space-after-casts: 不 要 在 cast 之 后 裕一 格 。 

-nfcl 或 --dont-format-first-column-comments: 不 要 格式 化 放 在 每 行 最 前 痕 的 注释 。 

-nfca 或 --dont-format-comments: 不 要 格式 化 任何 的 注释 。 

-nip 或 --no-parameter-indentation: ZU Xi. 

-nlp 或 --dont-line-up-parentheses: 叙述 过 长 而 换行 ， 且 叙述 中 包含 了 括 弧 时 ， 不 用 将 括 
弧 中 的 每 行 起 始 栏 位 王 直 对 痢 排 列 。 

-npes 或 --no-space-after-function-call-names: 在 调用 的 函数 名 称 之 后 ， 不 要 加 上 空格 。 
-npro 或 --ignore-profile: 不 要 读 取 indent 的 配置 文件 indent.pro。 

-npsl 或 --dont-break-procedure-type: 程序 类 型 与 程序 名 称 放 在 同一 行 。 
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-nsc 或 --dont-star-comments: 注解 左 侧 不 要 加 上 星 写 (*) 。 

-nsob 或 --leave-optional-semicolon: 不 用 处 理 多 余 的 容 白 行 。 

-nss 或 --dont-space-special-semicolon: 4f for 或 while 区 上 段 仪 有 一 行 时 ,在 分 号 前 不 加 上 
空格 。 

-nv 或 --no-verbosity: 不 显示 详细 的 信息 。 

-orig BV--original: 使 用 Berkeley 的 格式 。 

-pcs 或 --space-after-procedure-calls: 在 调用 的 函数 名 称 与 “{” 之 间 加 上 空格 。 

-psl 或 --procnames-start-lines: 程序 类 型 置 于 程序 名 称 的 前 一 行 。 

-sc EX.--start-left-side-of-comments: 在 每 行 注释 左 侧 加 上 星 号 (*) 。 

-sob 或 --swallow-optional-blank-lines: 删除 多 余 的 空白 行 。 

-SS 或 --space-special-semicolon: 4 for 或 swile 区 上 段 仪 有 一 行 时 ， 在 分 写 前 加 上 空格 。 
-st 或 --standard-output: 将 结果 显示 在 标准 输出 设备 。 

-T: 数据 类 型 名 称 缩 排 。 

-ts< 格 数 > 或 --tab-size< 格 数 >: 设置 tab IKE. 

-v 或 --verbose: 执行 时 显示 详细 的 信息 。 


-version: 显示 版 本 信息 。 























功能 说 明 : 复制 文件 或 目录 。 

语法 : cp [-abdfiljpPrRsuvx][-S< 备 份 字 尾 字 符 串 >][-V< 备 份 方式 >][--help][--spares=< 使 用 时 
机 >][--version][ 源 文件 或 目录 ][ 目 标 文 件 或 目录 ][ 目 的 目录 ] 

使 用 说 明 : cp 指令 用 在 复制 文件 或 目录 ， 如 同时 指定 两 个 以 上 的 文件 或 目录 ， 且 最 后 的 目 
的 地 是 一 个 已 经 存在 的 目录 ， 则 乞 会 把 前 面 指定 的 所 有 文件 或 目录 复制 到 该 目录 中 。 知 同时 指定 





















































多 个 文件 或 目录 ， 而 最 后 的 目的 地 并 非 是 一 个 已 存在 的 目录 ， 则 会 出 现 错误 信息 。 
23 


-a 或 --archive: 此 参数 的 效果 和 同时 指定 “-dpR” 参 数 相 同 。 

-b B-backup: 删除 、 履 盖 目 标 文件 之 前 的 备份 ， 备 份 文件 会 在 字 尾 加 上 一 个 备份 字符 趾 。 
-d 或 --no-dereference: 当 复 制 符 志和 连接 时 ， 把 目标 文件 或 目录 也 建立 为 符号 连接 ， 并 指 
回 与 源 文件 或 目录 连接 的 原始 文件 或 目录 。 

-下 或 --force: 强行 复制 文件 或 目录 ， 不 论 目 标 文件 或 目录 是 人 耕 已 存在 。 

-i 或 --interactive: 7E mm BE OC TEZL BU 2689) H P^ o 

-] 或 --link: 对 源 文 件 建 立 硬 连接 ， 而 非 复制 文件 。 

-p 或 --preserve: 保留 源 文 件 或 目录 的 属性 。 

-P 或 --parents: 保留 源 文 件 或 目录 的 路 径 。 

-6: 递归 处 理 ， 将 指定 目录 下 的 文件 与 子 目 录 一 并 处 理 。 

-R 或 --recursive: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 与 子 目 录 一 并 处 理 。 

-s 或 --symbolic-link: 对 源 文件 建立 符 所 连接， 而 非 复 制 文件 。 

-S< 备 份 字 尾 字 人 符 串 > 或 --suffix=< 备 份 字 尾 字符 串 >: 用 “-b” 参 数 备份 目标 文件 后 ， 备 
份 文件 的 季 尾 会 被 加 上 一 个 备份 字符 串 ， 预 设 的 备份 字 尾 字符 串 是 人 特写“~”。 

-或 -update; 使 用 该 参数 后 只 会 在 源 文件 的 更 改 时 间 较 目标 文件 更 新 时 或 是 名 称 相互 
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对 应 的 目标 文件 并 不 存在 时 ， 才 复制 文件 。 

a -y 或 --verbose: 显示 指令 的 执行 过 程 。 

«VK JI IX EX -version-control--4€ 0) 7j 5X»: 用 “-b” 参 数 备 份 目 标 文 件 后 ， 备 份 文 
件 的 字 尾 会 被 加 上 一 个 备份 字符 串 ， 该 字符 串 不 仅 可 用 “-S$” 参 数 变更 ， 当 使 用 “-V” 
参数 指定 不 同 备 份 方式 时 ， 也 会 产生 不 同 字 尾 的 备份 字 串 。 

a — -X 或 --one-file-system: 复制 的 文件 或 目录 存放 的 文件 系统 ， 必 须 与 cp 指令 执行 时 所 处 
的 文件 系统 相同 ， 否 则 不 予 复制 。 

=  --help: 在 线 帮助 。 

» ”--sparse=< 使 用 时 机 >: 设置 保存 黎 琉 文件 的 时 机 。 


a ”--Version: 显示 版 本 信息 。 






































touch 

功能 说 明 : 改变 文件 或 目录 时 间 。 

语法 : touch [-acfm][-d< 日 期 时 间 >][-r< 参 考 文件 或 目录 >][-t< 日 期 时 间 >][--help] [--version][ 文 
件 或 目录 ...] 

或 : touch [-acftmj][--help][--version][ 日 期 时 间 ][ 文 件 或 目录 …] 

使 用 说 明 : 使 用 touch 指令 可 更 改 文 件 或 目录 的 日 期 时 间 ， 包 括 存 取 时 间 和 更 改 时 间 。 

参数 : 

= — -a 或 --time=atime 或 --time=access 或 --time=use: 只 更 改 存 取 时 间 。 

mn -c 或 --no-create: 不 建立 任何 文件 。 

a ”-d< 日 期 时 间 >: 使 用 指定 的 日 期 时 间 ， 而 非 现 在 的 时 间 。 

a -fe 此 参数 将 忽略 不 予 处 理 ， 仅 负责 解决 BSD 版 本 touch 指令 的 兼容 性 问题 。 

= -nm 或 --time=mtime 或 --time=modify: 只 更 改变 动 时 间 。 

mn -IT< 参 考 文 件 或 目录 >: 把 指定 文件 或 目录 的 日 期 时 间 全 部 设 成 和 参考 文件 或 目录 的 日 期 

时 间 相 同 。 
a  -t< 日 期 时 间 >: 使 用 指定 的 日 期 时 间 ， 而 非 现 在 的 时 间 。 
= ”--help: 在 线 帮助 。 


a ”--Version: 显示 版 本 信息 。 









































Tmpwatch 

功能 说 明 : 删除 暂 存 文件 。 

语法 : tmpwatch [-afqv][--test][ 超 期 时 间 ][ 目 录 ...] 

使 用 说 明 : 执行 tmpwatch 指令 可 删除 不 必要 的 暂 存 文件 ， 您 可 以 设置 文件 的 超期 时 间 ， 单 
位 以 小 时 计算 。 

参数 : 

a  -a 或 --all: 删除 任何 类 型 的 文件 。 

a ”下 或 --force: 强制 删除 文件 或 目录 ， 其 效 末 类 似 rm 指令 的 “-f” 参 数 。 

a  -qH2k-quiet: 不 显示 指令 执行 过 程 。 

a -y 或 --verbose: 详细 显示 指令 执行 过 程 。 

a -test: 仅 作 测试 ， 并 不 真 地 删除 文件 或 目 孙 。 
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功能 说 明 : 读 取 标准 输入 的 数据 ， 并 将 其 内 容 输 出 成 文件 。 

语法 : tee [-ai][--help][--version][ 文 件 ...] 

使 用 说 明 : tee 指令 会 从 标准 输入 设备 读 取 数据 ， 将 其 内 容 输 出 到 标准 输出 设备 ， 同 时 保存 
成 文件 。 

参数 : 

= ” -a 或--append: 附加 a 到 既 有 文件 的 后 面 ， 而 非 禾 新 它 。 

mn -i-i 或 --ignore-interrupts: ls rri s. 

= — —help: 在 线 帮助 。 


a ”--Version: 显示 版 本 信息 。 





cut 


使 用 权限 : 所 有 使 用 者 。 


用 法 : cut-cnuml-num2: filename 

说 明 : 显示 每 行 从 开头 算 起 num1l~ 一 num2: 的 文字 。 
diff 

功能 说 明 : 比较 文件 的 甜 开 。 

语法 : diff [-abBcdefHilnNpPqrstTuvwy][-< 行 数 >][-C< 行 数 >][-D< 巨 集 名 称 >][-I< 字 符 或 字符 
串 >][-S< 文 件 >][-W< 宽 上 度 >][-x< 文 件 或 目录 >][-X< 文 件 >][--help][--left-column][--suppress-common 
-line][ 文 件 或 目录 1][ 文 件 或 目录 2] 

使 用 说 明 : diff 以 逐 行 的 方式 ， 比 较 文本 文件 的 异同 处 。 指 定 要 比较 的 目录 ， 则 dif 会 比较 
目录 中 相同 文件 名 的 文件 ， 但 不 会 比较 其 中 子 目 录 。 

参数 : 

mn -< 行 数 >: 指定 要 显示 多 少 行 的 文本 。 此 参数 必须 与 -c 或 -u 参数 一 并 使 用 。 

a -a 或--text: diff 预 设 只 会 逐 行 比较 文本 文件 。 

= -b 或 --ignore-space-change: 不 检查 空格 字符 的 不 同 。 

= -B 或 --ignore-blank-lines: PRAT HÍT. 

a o-c: 显示 全 部 内 文 ， 并 标 出 不 同 之 处 。 

a -CC< 行 数 > 或 --context< 行 数 >: 与 执行 “-c-< 行 数 >” 指 令 相 同 。 

a  -d 或 -minimal: 使 用 不 同 的 演算 法 ， 以 较 小 的 单位 来 做 比较 。 

a -D«E f om ifdef ERK: 此 参数 的 输出 格式 可 用 于 六 置 处 理 问 巨 集 。 

a -e 或 --ed: 此 参数 的 输出 格式 可 用 于 ed 的 script 文件 。 

= — -fEX-forward-ed: 输出 的 格式 类 似 ed 的 script 文件 ， 但 按照 原来 文件 的 顺序 来 显示 不 同 处 。 

a  -H E--speed-large-files: 比较 大 文件 时 ， 可 加 快速 度 。 

m -]< 字 人 符 或 字符 串 > 或 --ignore-matching-lines< 罕 符 或 字符 串 >: EVA OCTEAEXEJLTTAH PA 

同 ， 而 这 几 行 同时 都 包含 了 选项 中 指定 的 学 符 或 字符 串 ， 则 不 显示 这 两 个 文件 的 委 开 。 
a  -iZk-ignore-case: 不 检查 大 小 写 的 不 同 。 
a -l| 或 --paginate: 将 结果 交 由 pr 程序 来 分 页 。 
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-n 或 --rcs: 将 比较 结果 以 RCS 的 格式 来 显示 。 

-N 或 --new-file: 在 比较 目录 时 ， 大 文件 A 仅 出 现在 某 个 目录 中 ， 预 设 会 显示 。 

Only: in 目录 : 文件 A 知 使 用 -N 参数 ， 则 diff 会 将 文件 A 与 一 个 空白 的 文件 比较 。 

-p: 在 比 较 的 文件 为 C 语言 的 程序 码 文件 时 ， 显 示 差 异 所 在 的 函数 名 称 。 

-P 或 --unidirectional-new-file: 与 -N 类似 ， 但 只 有 当 第 二 个 目录 包 售 了 一 个 第 一 个 目录 

所 没有 的 文件 时 ， 才 会 将 这 个 文件 与 空白 的 文件 做 比较 。 

-q 或 --brief: 仅 显 示 有 无 差 开 ， 不 显示 详细 的 信息 。 

-了 或 --recursive: 比较 子 目 录 中 的 文件 。 

-s 或 --report-identical-files: 大 没有 发 现任 何 差 开 ， 仍 然 显 示 信 息 。 

-S< 文 件 > 或 --starting-file< 文 件 >: 在 比较 目录 时 ， 从 指定 的 文件 开始 比较 。 

-t 或 --expand-tabs: 在 输出 时 ， 将 tab 字符 展开 。 

-T 或 --initial-tab: 在 每 行列 而 加 上 tab 字符 以 便 对 齐 。 

-U,-U< 列 数 > 或 --unified=< 列 数 >: 以 合并 的 方式 来 显示 文件 内 容 的 不 同 。 

-v 或 --version: 显示 版 本 信息 。 

-w 或 --ignore-all-space: 忽略 全 部 的 空格 字符 。 

-W< 咒 上 度 > 或 --width< 宽 度 >: 在 使 用 -y 参数 时 ， 指 定 栏 宽 。 

-x< 文 件 或 目录 > 或 --exclude< 文 件 或 目录 >: 不 比较 选项 中 所 指定 的 文件 或 目录 。 

-X< 文 件 > 或 --exclude-from< 文 件 >: 您 可 以 将 文件 或 目录 类 型 存 成 文本 文件 ， 然 后 在 
=< 文 件 > 中 指定 此 文本 文件 。 

-y 或 --side-by-side: 以 并 列 的 方式 显示 文件 的 异同 之 处 。 

--help: 显示 帮助 。 

--left-column: 在 使 用 -y 参数 时 ， 夺 两 个 文件 菏 一 行内 容 相 同 ， 则 仅 在 左 侧 的 栏 位 显示 

该 行内 容 。 

-suppress-common-line: 在 使 用 -y 参数 时 ， 仪 显示 不 同 之 处 。 
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eroupdel 

功能 说 明 : 删除 群 组 。 

语法 : groupdel [ 群 组 名 称 ] 

使 用 说 明 : 需要 从 系统 上 删除 群 组 时 ， 可 用 groupdel 指令 来 完成 这 项 工作 。 如 果 该 和 群 组 中 仍 
包括 菜 些 用 户 ， 则 必须 先 删除 这 些 用 尸 ， 能 删除 群 组 。 








eroupmod 
功能 说 明 : 更 改 群 组 识别 码 或 名 称 。 
语法 : groupmod [-g< 群 组 识别 码 ><-o>][-n< 刹 群 组 名 称 >][ 群 组 名 称 ] 
使 用 说 明 : 需要 更 改 群 组 的 识别 人 码 或 名 称 时 ， 可 用 groupmod 指令 来 完成 这 项 工作 。 
参数 : 
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ao -g< 群 组 识别 码 >， 设 置 欲 使 用 的 群 组 识别 码 。 
。 o-o: 重复 使 用 群 组 识别 码 。 
no -n< 新 群 组 名 称 >:， 设置 欲 使 用 的 群 组 名 称 。 
id 





功能 说 明 : 显示 用 户 的 ID， 以 及 所 属 群 组 的 ID。 

语法 : id [-gGnru][--help][--version][ 用 户 名 称 ] 

使 用 说 明 : id 会 显示 用 户 以 及 所 属 群 组 的 实际 与 有 效 有 D。 辱 两 个 有 D 相同 , 则 仪 显示 实际 ID. 
条 仅 指定 用 户 名 称 ， 则 显示 目前 用 户 的 ID. 

参数 : 

a  -gHX-group: 显示 用 户 所 属 群 组 的 ID。 

a ”-G 或 --groups: 显示 用 户 所 属 附加 群 组 的 ID 

a -0n 或 -name: 显示 用 户 、 所 属 群 组 或 附加 群 组 的 名 称 。 

= -或 --real: 显示 实际 ID. 

= ”-u 或 --user: 显示 用 户 ID。 

= ”-help: 显示 帮助 。 


a version: 显示 版 本 信息 。 





























pstree 

功能 说 明 : 以 树 状 图 显示 程序 。 

语法 : pstree [-acGhlnpuUV][-H< 程 序 识 别 码 >][< 程 序 识别 人 码 >/< 用 户 名 称 >] 

使 用 说 明 : pstree 指令 用 ASCI 字符 显示 树 状 结构 ， 清 楚 地 表达 程序 间 的 相互 关系 。 如 果 不 
指定 程序 识别 码 或 用 户 名 称 , 则 会 把 系统 启动 时 的 第 一 个 程序 视 为 基层 , 并 显示 之 后 的 所 有 程序 。 
大 指定 用 户 名 称 ， 便 会 以 隶属 该 用 户 的 第 一 个 程序 当 作 基层 ， 然 后 显示 该 用 户 的 所 有 程序 。 

参数 : 

a -a 显示 每 个 程序 的 完整 指令 ， 包 含 路 符 、 参 数 或 是 常 驻 服务 的 标示 。 

a o-c: 不 使 用 精简 标示 法 。 

a ”-G: 使 用 VT100 终端 机 的 列 绘图 字符 。 

»  -h: 列 出 树 状 图 时 ， 特 别 标明 现在 执行 的 程序 。 

a -HFR >: 此 参数 的 效果 和 指定 “-h” 参 数 类 似 ， 但 特别 标明 指定 的 程序 。 

mn -l 采用 长 列 格式 显示 树 状 图 。 

ma -n: 用 程序 识别 码 排 序 。 预 设 是 以 程序 名 称 来 排序 。 

"p: 显示 程序 识别 人 码 。 

a u: 显示 用 户 名 称 。 

a  -U: 使 用 UTF-8 列 绘图 字符 。 

u -Vi 显示 版 本 信息 。 


rlogin 
功能 说 明 ， 远 端 登 录 。 
语法 : rlogin [-8EL][-e< 脱 离 字符 >][-1< 用 户 名 称 >][ 主 机 名 称 或 人 P 地址] 
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使 用 说 明 : 执行 rlogin 指令 开局 终 闹 机 阶段 操作 ， 并 登录 远 六 主机 。 
参数 : 
a -8: 允许 输入 8 位 字符 数据 。 


BT OM ^r BT OM ^r 


a -eA FAS: 设置 脱离 字符 。 
= -E 滤 除 脱离 字符 。 
mn ”-]|< 用 户 名 称 >: 指定 要 登录 远 问 主机 的 用 户 名 称 。 
m -L: 使 用 litout Ez UETT Um X3 DT ERNE o 
rsh 
功能 说 明 : 远 端 登录 的 shell. 
语法 : rsh [-dn][-1< 用 户 名 称 >][ 主 机 名 称 或 耳 地 址 ][ 执 行 指令 ] 
使 用 说 明 : rsh 提供 用 户 环境 ， 也 就 是 shell， 以 便 指 令 能 够 在 指定 的 远 端 主机 上 执行 。 
参数 : 
a  -d: 使 用 Socket 层级 的 排 错 功能 。 
a  -]< 用 户 名 称 >: 指定 要 登录 远 问 主机 的 用 户 名 称 。 
a o n: 把 输入 的 指令 号 指 问 代号 为 /dev/null 的 特殊 外 围 设 备 。 


























rwho 

功能 说 明 : 查看 系统 用 户 。 

语法 : rwho [-a] 

使 用 说 明 : rwho 指令 的 效果 类 似 who 指令 ， 但 它 会 显示 局 域 网 里 所 有 主机 的 用 户 。 主 机 必 
须 提 供 rwhod 第 驻 服 务 的 功能 ， 方 可 使 用 rwho 指令 。 

参数 : 

a a: 列 出 所 有 的 用 户 ， 包 括 朵 置 时 间 超 过 1 个 小 时 以 上 的 用 户 。 
lsmod 

功能 说 明 : 显示 已 载 入 系统 的 模块 。 

语法 : lsmod 

使 用 说 明 : 执行 Imod 指令 ， 会 列 出 所 有 已 载 入 系统 的 模块 。Linux 操作 系统 的 核心 具有 模 
块 化 的 特性 ， 因 此 在 编译 核心 时 ， 必 须 把 全 部 的 功能 都 放 入 核心 。 您 可 以 将 这 些 功能 编译 成 一 个 
个 单独 的 模块 ， 竺 需要 时 再 分 别 载 入 。 
insmod 

功能 说 明 : 载 入 模块 。 

语法 : insmod [-fkmpsvxX][-o< 模 块 名 称 >][ 模 块 文件 ][ 符 号 名 称 = 符号 值 ] 

使 用 说 明 : Linux 有 许多 功能 是 通过 模块 的 方式 ， 在 需要 时 才 载 入 kernel。 如 此 可 使 kernel 
较为 精简 ， 进 而 提高 效率 ， 以 及 保有 较 大 的 弹性 。 这 类 可 载 入 的 模块 ， 通 常 是 设备 驱动 程序 。 

参数 : 

a  -f: 不 检查 目前 kernel 版 本 与 模块 编译 时 的 kernel 版 本 是 否 一 改 ， 强 制 将 模块 载 入 。 

a ”-k: HERE BB. 
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» —-m: 输出 模块 的 载 入 信息 。 

a ” -0< 模 块 名 称 >: 指定 模块 的 名 称 ， 可 使 用 模块 文件 的 文件 名 。 

a  -p: 测试 模块 是 否 能 正确 地 载 入 kernel. 

2 -s 将 所 有 信息 记录 在 系统 记录 文件 中 。 

a  -V: 执行 时 显示 详细 的 信息 。 

a -x 不 要 输出 模块 的 外 部 符号 。 

a -X: 输出 模块 所 有 的 外 部 符 写 ， 此 为 预 设置 。 
grpuncony 

功能 说 明 : 关闭 群 组 的 投影 密码。 

语法 : grpunconv 

使 用 说 明 : 执行 grpunconv 指令 可 关闭 群 组 投影 密码 ， 它 会 把 密码 从 gshadow 文件 内 ， 改 存 
到 group 文件 里 。 








erpconv 


功能 说 明 : 开局 群 组 的 投影 密码 。 

语法 : grpconv 

使 用 说 明 : Linux 系统 里 的 用 户 和 和 群 组 密码 ， 分 别 存放 在 /etc 目录 下 的 passwd 和 group 文件 
中 。 因 系统 运作 所 需 ， 任 何人 都 得 以 读 取 它们 ， 造 成 安全 上 的 人 破 织 。 投 影 密码 将 文件 内 的 密码 改 
存在 /etc 目录 下 的 shadow 和 gshadow 文件 内 ， 只 人 允许 系统 管理 者 谈 取 ， 同 时 把 原 密 人 码 置 换 为 “X” 
字符 。 投 影 密 码 的 功能 可 随时 开局 或 天 闭 ， 您 只 需 执 行 grpconv JES SLBEJT JH REAR R5 











export 

功能 说 明 : 设置 或 显示 环境 变量 。 

语法 : export [-fnp][ 变 量 名 称 ]=[ 变 量 设置 值 ] 

使 用 说 明 : 在 shell 中 执行 程序 时 ，shell 会 提供 一 组 环境 变量 。export 可 狐 增 、 修 改 或 删除 
环境 变量 ， 供 后 续 执 行 的 程序 使 用 。export 的 效力 仅 及 于 该 此 登录 操作 。 

参数 : 

ao f 代表 “变量 名 称 ” 中 为 函数 名 称 。 

» —-n: 市 除 指定 的 变量 。 变 量 实际 上 并 未 删除 ， 只 是 不 会 输出 到 后 续 指 令 的 执行 环境 中 。 

a —-p: 列 出 所 有 的 shell 赋予 程序 的 环境 变量 。 
enable 

功能 说 明 : 局 动 或 天 闭 shell 内 建 指 令 。 

语法 : enable [-n][-all][ 内 建 指令 ] 

使 用 说 明 : 耕 要 执行 的 文件 名 称 与 shell 内 建 指令 相同 , 可 用 enable-n 来 天 闭 shell 内 建 指令 。 
耕 不 加 -n 参数 ，enable 可 重新 局 动 关 闭 的 指令 。 

参数 : 

a o o-n: 关闭 指定 的 shell 内 建 指令 。 

» -all: 显示 shell 所 有 关闭 与 启动 的 指令 。 
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dmesg 

功能 说 明 : 显示 开机 信息 。 

语法 : dmesg [-cn][-s< 绥 冲 区 大 小 >] 

使 用 说 明 : kernel 会 将 开机 信息 存储 在 ring buffer 中 。 您 若是 开机 时 来 不 及 查看 信息 ， 可 利 
用 dmesg 来 查看 。 开 机 信息 亦 保 存在 /varvlog 目录 中 ， 名 称 为 dmesg 的 文件 里 。 

参数 : 

mn o-c: 显示 信息 后 ， 清 除 ring buffer 中 的 内 容 。 

a 。  -S< 绥 种 区 大 小 >: 预 设 置 为 8196， 了 刚好 等 于 ring buffer 的 大 小 。 

a n: 设置 记录 信息 的 层级 。 
depmod 


功能 说 明 : 分 析 可 载 入 模块 的 相依 性 。 

语法 : depmod [-adeisvV][-m< 文 件 >][--help][ 模 块 名 称 ] 

使 用 说 明 : depmod 可 检测 模块 的 相依 性 ， 供 modprobe 在 安装 模块 时 使 用 。 
参数 : 

a  -a 或 --all: 分 析 所 有 可 用 的 模块 。 

a  -d3X debug: 执行 排 错 模式 。 

a -e 输出 无 法 参照 的 符号 。 

a -i 不 检查 从 号 表 的 版 本 。 

= ”-m< 文 件 > 或 system-map< 文 件 >: 使 用 指定 的 符号 表 文 件 。 
a -Ss 或 --system-log: 在 系统 记录 中 记录 错误 。 

a — -V 或 --verbose: 执行 时 显示 详细 的 信息 。 

a — -V 或 --version: 显示 版 本 信息 。 

2»  --help: 显示 帮助 。 





















































su 
功能 说 明 : 变更 用 户 身 份 。 
语法 : su [-flmp][--help][--version][-][-c< 指 令 >][-s<shell>][ 用 户 账 号 ] 
使 用 说 明 : su 可 让 用 户 暂 时 变更 登录 的 身份 。 变 更 时 需 输入 所 要 变更 的 用 户 账号 与 密 人 码 。 
参数 : 
a  -C< 指 令 > 或 --command=< 指 令 >: 执行 完 指 定 的 指令 后 ， 即 恢复 原来 的 身份 。 
a 二 或 --fast， 适 用 于 csh 与 tsch， 使 shell 不 用 去 读 取 启 动 文件 。 
=  --| 或 --login: 改变 身份 时 ， 也 同时 变更 工作 目录 ， 以 及 HOME. SHELL. USER, 
LOGNAME。 此 外 ， 也 会 变更 PATH 变量 。 
= — -m,-p 或 --preserve-environment: 变更 身份 时 ， 不 要 变更 环境 变量 。 
" -s«shell»zk--shell-«shell»: 指定 要 执行 的 shell。 
= — —help: bz). 
mn — —Version: 显示 版 本 信息 。 
a HPR: 指定 要 变更 的 用 户 。 硅 不 指定 此 参数 ， 则 预 设 变 更 为 root. 
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lastb 


功能 说 明 : 列 出 登录 系统 失败 的 用 户 的 相关 信息 。 

语法 : lastb [-adRx][- 人 < 记录 文件 >][-n< 显 示 列 数 >][ 账 号 名 称 ...][ 终 端 机 编号...] 

使 用 说 明 : 单独 执行 lastb 指令 ， 它 会 读 取 位 于 /var/log 目录 下 ， 名 称 为 btmp 的 文件 ， 并 把 
该 文件 内 容 记 录 的 登录 失败 的 用 户 名 单 全 部 显示 出 来 。 

参数 : 

a -a 把 从 何 处 登录 系统 的 主机 名 称 或 IP 地 址 显示 在 最 后 一 行 。 

a ”-d: X% IP 地址 转换 成 主机 名 称 。 

a -EKL >: 指定 记录 文件 。 

ma ”-n< 显 未 列 数 > 或 -< 显示 列 数 >: 设置 列 出 名 单 的 显示 列 数 。 

a ”-R: 不 显示 登录 系统 的 主机 名 称 或 IP 地 址 。 

mn -X 显示 系统 关机、 午 狐 开机 以 及 执行 等 级 的 改变 等 信息 。 
logrotate 

功能 说 明 : 管理 记录 文件 。 

语法 : logrotate [-?dfv][-s< 状 态 文 件 >][--usage][ 配 置 文件 ] 

使 用 说 明 : 使 用 logrotate 指令 ， 可 让 你 轻松 管理 系统 所 产生 的 记录 文件 。 它 提供 目 动 蔡 换 、 
压缩 、 删 除 和 邮寄 记录 文件 ， 每 个 记录 文件 都 可 航 设 置 成 每 日 、 每 周 或 每 月 处 理 ， 也 能 在 文件 太 
大 时 立即 处 理 。 您 必须 目 行 编辑 ， 指 定 配 置 文件 。 预 设 的 配置 文件 存放 在 /etc 目录 下 ， 文 件 名 称 
为 logrotate.conf. 

参数 : 

a ”-? 或 --help: 在 线 帮 助 。 

a ”-d 或 --debug: 详细 显示 指令 的 执行 过 程 ， 便 于 排 错 或 了 解 程序 执行 的 情况 。 

a -或 --force: 强行 启动 记录 文件 维护 操作 ， 即 使 logrotate 指令 认为 没有 必要 也 这 样 。 

a ” -Ss< 状 态 文 件 > 或 --state=< 状 态 文件 >: 使 用 指定 的 状态 文件 。 

a -v 或 --version: 显示 指令 的 执行 过 程 。 

=  -usage: 显示 指令 的 基本 用 法 。 


















































newgrp 

功能 说 明 : 登录 另 一 个 群 组 。 

语法 : newgrp [和 群 组 名 称 ] 

使 用 说 明 : newgrp 指令 类 似 login 指令 ， 它 是 以 相同 的 账号 ， 另 一 个 群 组 名 称 ， 再 次 登录 系 
统 。 欲 使 用 newgrp 指令 切换 群 组 ， 您 必须 是 该 群 组 的 用 户 ， 人 否则 将 无 法 登录 指定 的 群 组 。 单 一 
用 户 要 同时 隶属 多 个 群 组 ， 需 利用 交 蔡 用 户 的 设置 。 知 不 指定 群 组 名 称 ， 则 newgrp 指令 会 登录 
该 用 户 名 称 的 预 设 和 群 组 。 
procinfo 

功能 说 明 : 显示 系统 状态 。 

语法 : procinfo [-abdDfhimsSv][-F< 输 出 文件 >][-n< 间 隔 秒 数 >] 
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使 用 说 明 : procinfo 指令 从 /proc 日 录 里 读 取 相关 数据 , 将 数据 妥善 整理 过 后 输出 到 标准 输出 


设备 。 








e ”-4: 显示 所 有 信息 。 

a b: 显示 人 厂 盘 设备 的 区 块 数目 ， 而 非 存 取 数 目 。 

ma d: 显示 系统 信息 每 秒 间 的 变化 关 额 ， 而 非 总 和 的 数值 。 本 参数 必须 配合 “-f ”参数 使 用 。 

a -D: 此 参数 效 末 和 指定 “-d” 参 数 关 似 ， 但 内 存 和 区 换文 件 的 信息 为 总 和 数值 。 

a  -f: 进入 全 画面 的 互动 式 操 作 界 面 。 

a -FE< 输 出 文件 >: 把 信息 状态 输出 到 文件 保存 起 来 ， 而 非 预 设 的 标准 输出 设备 。 

a -h: 在 线 帮 助 。 

a ”-i: 显示 完整 的 IRP 列表 。 

a m: 显示 系统 模块 和 外 围 设 备 等 相关 信息 。 

a o-n: 间隔 秒 数 >: 设置 全 画面 互动 模式 的 信息 更 新 速度 ， 单 位 以 秒 计算 。 

mn -s 显示 系统 的 内 存 、 人 磁盘 空间 、 耻 P 和 DMA 等 信息 ， 此 为 预 设 值 。 

mn  -S: 搭配 参数 “-d” 或 “-D” 使 用 时 ， 每 秒 都 会 更 新 信息 ， 不 论 是 合 使 用 参数 “-n”。 

w -v 显示 版 本 信息 。 
sudo 

功能 说 明 : 以 其 他 身份 来 执行 指令 。 

语法 : sudo [-bhpHpV][-s<shell>][-u< 用 户 >][ 指 令 ] EX: sudo [-klv] 

使 用 说 明 : sudo 可 让 用 户 以 其 他 的 身份 来 执行 指定 的 指令 , 预 议 的 号 份 为 root。 在 /etc/sudoers 
中 设置 了 可 执行 sudo 指令 的 用 户 。 辱 其 未 经 授权 的 用 户 企 图 使 用 sudo， 则 会 发 出 警告 邮件 给 管 
理 员 。 用 户 使 用 sudo 时 ， 必 须 先 输入 密码 ， 之 后 有 5 分 钟 的 有 效 期 限 ， 超 过 期 限 则 必须 重新 输 
入 密码 。 

参数 : 

"b 在 后 合 执行 指令 。 

a -h: 显示 帮助 。 

=  -H: 将 HOME 环境 变量 设 为 新 号 份 的 HOME 环境 变量 。 

ma -k: 结束 密 公 的 有 效 期 限 ， 也 束 是 下 次 再 执行 sudo 时 便 需 要 输入 密码 。 

a -k 列 出 目前 用 户 可 执行 与 无 法 执行 的 指令 。 

a —-p: 改变 询问 密 人 码 的 提示 符号 。 

» -s<shell>: 执行 指定 的 shell. 

a ”-u< 用 户 >: 以 指定 的 用 户 作 为 新 的 有 身份 。 奉 不 加 上 此 参数 ， 则 预 设 以 root 作为 新 的 吴 份 。 

a  -V: 延长 密码 有 效 期 限 5 分钟。 

" -Vi 显示 版 本 信息 。 


suspend 
功能 说 明 : 暂停 执行 shell。 
语法 : suspend [-f] 
使 用 说 明 : suspend 为 shell 内 建 指令 ， 可 暂停 目前 正在 执行 的 shell. FERR, MARIEH 
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SIGCONT 信息 。 
参数 : 





a -fe A HATTI shell 为 登录 的 shell, Jl] suspend 预 变 无 法 暂 俘 此 shell. 4i Zésmi tr 
停 登 录 的 shell， 则 必须 使 用 -f 参数 。 
swatch 

功能 说 明 : 系统 监控 程序 。 

语法 : swatch [-A< 分 隅 字 和 人 符 >][-c< 设 置 文件 >][- 估 记录 文件 >][-< 分 阳 凶 从 >][-P< 分 隔 子 
从 >][-r< 时 间 >][- 攻 记录 文件 >] 

使 用 说 明 : swatch 可 用 来 监控 系统 记录 文件 ， 并 在 发 现 特 定 的 事件 时 ， 执 行 指定 的 动作 。 
swatch 所 监控 的 事件 以 及 对 应 事件 的 动作 都 存放 在 swatch 的 配置 文件 中 。 预 设 的 配置 文件 为 用 
户 根 目录 下 的 .swatchrc。 然 而 在 Red Hat Linux 的 预 设 用 户 根 目录 下 并 没有 .swatchrc 配置 文件 ， 
您 可 将 /usr/doc/swatch-2.2/config files/swatchrc.personal 文件 复制 到 用 户 根 目 录 下 的 .Swatchrc， 然 
后 修改 .swatchrc 所 要 监控 的 事件 及 执行 的 动作 。 

参数 : 

a -A< 分 隔 字 人 符 >: 指定 配置 文件 中 ， 动 作 的 分 隔 学 符 ， 预 设 为 逗号 。 

mn 。  -C< 设 置 文件 >: 指定 配置 文件 ， 而 不 使 用 预 设 的 配置 文件 。 

a  -fcibok X fp»: 检 答 指定 的 记录 文件 ， 检 答 完 毕 后 不 会 继续 监控 该 记录 文件 。 

a -KOEI 指定 输入 记录 的 分 隅 字符 ， 预 设 为 换行 字符 。 

»  -P-jr^-: 指定 配置 文件 中 ， 事 件 的 分 隔 字 符 ， 预 设 为 逗 号 。 

» — rc: 在 指定 的 时 间 重 新 局 动 。 

ma -长 记录 文件 >: 检查 指定 的 记录 文件 ， 并 且 会 监控 加 入 记录 文件 中 的 后 继 记 录 。 
tload 

功能 说 明 : 显示 系统 负载 状况 。 

语法 : tload [-V][-d< 间 隅 秒 数 >][-s< 刻 上 度 大 小 >][ 余 六 机 编写 ] 

使 用 说 明 : tload 指令 使 用 ASCI 字符 简单 地 以 文学 模式 显示 系统 的 负载 状态 。 假 设 不 给 巴 
终端 机 编号 ， 则 会 在 执行 ttoad 指令 的 终端 机 显示 负载 情形 。 

参数 : 

a  -d< 间 隅 秒 数 >: 设置 tload 检测 系统 负载 的 间隔 时 间 ， 单 位 以 秒 计算 。 

mn  -scAJE A^»: 设置 图 表 的 王 直 刻度 大 小 ， 单 位 以 列 计 算 。 

" -Vi 显示 版 本 信息 。 






































uname 
功能 说 明 : 显示 系统 信息 。 
语法 : uname [-amnrsv][--help][--version] 
SEH wH: uname 可 显示 电脑 以 及 操作 系统 的 相关 信息 。 
参数 : 
a -a 或 --all; 显示 全 部 的 信息 。 
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-m 或 --machine: 显示 电脑 类 型 。 

-n 或 -nodename: 显示 在 网 络 上 的 主机 名 称 。 
-了 或 --release: 显示 操作 系统 的 发 行 编号 。 

-s 或 --sysname: 显示 操作 系统 名 称 。 

-Vv: 显示 操作 系统 的 版 本 。 

-help: 显示 帮助 。 

--Version: 显示 版 本 信息 。 





userconf 

功能 说 明 : 用 户 账号 设置 程序 。 

语法 : userconf [--addgroup< 和 群 组 >][--adduser< 用 户 ID>< 群 组 >< 用 户 名 称 ><shell>][--delgroup 
< 和 群 组 >][--deluser< 用 户 ID>][--help] 

使 用 说 明 : userconf 实际 上 为 linuxconf 的 符号 连接 ， 提 供 图 形 界 面 的 操作 方式 ， 供 管理 员 建 




















VARRER. AAIE, BREA BEA H 





参数 : 


vlock 


--addgroup< 和 群 组 >: JHH. 

--adduser< 用 户 ID>< 和 群 组 >< 用 户 名 称 ><shell>: 狐 增 用 户 账 号 。 
--delgroup< 和 群 组 >: 删除 群 组 。 

--deluser< 用 户 ID»: 删除 用 户 账 号 。 

--help: 显示 帮助 。 


功能 说 明 : WUEMA ny o 

语法 : vlock [-achv] 

使 用 说 明 : 执行 vlock 指令 可 锁 住 虚拟 终端 ， 避 人 锡 他 人 使 用 。 
参数 : 


whoami 





-a 或 --all: WENA IE XS ETEME, Un aA BEA)SASm HERI Wu H 
键盘 切换 终端 机 的 功能 一 并 关闭 。 

-c 或 --current: 锁 住 目前 的 终端 阶段 作业 ， 此 为 预 设 值 。 

-h 或 --help: 在 线 帮 助 。 

-y 或 --version: 显示 版 本 信息 。 











功能 说 明 : 显示 用 户 名 称 。 

语法 : whoami [--help][--version] 

使 用 说 明 : 显示 上 自身 的 用 户 名 称 ， 本 指令 相当 于 执行 “id-un” 指 令 。 
参数 : 


--help: 在 线 帮 助 。 
--Version: 显示 版 本 信息 。 


附录 A 
企业 级 Linux fp IRR MENNNNENNEENEN 


whois 

功能 说 明 : 查找 并 显示 用 户 信 息 。 

语法 : whois [账号 名 称 ] 

使 用 说 明 : whois 指令 会 去 查找 并 显示 指定 账号 的 用 户 相 关 信 息 ， 因 为 它 是 到 Network 
Solutions 的 WHOIS 数据 库 去 人 查找， 所 以 该 账号 名 称 必 须 在 上 徊 注册 方 能 寻 获 ， 且 名 称 没有 大 小 
写 的 区 别 。 


E CM 系统 设置 命令 


alias 

功能 说 明 : 设置 指令 的 别名 。 

语法 : alias[ 别 名 ]=[ 指 令 名 称 ] 

使 用 说 明 : 用 户 可 利用 alias AERC. AIXA aliass， 则 可 列 出 目前 所 有 的 别名 设 
i. alias 的 效力 仪 及 于 该 次 登录 有 的 操作 。 奋 要 每 次 登录 时 即 目 动 设 好 别名 ， 可 在 .profile 或 .cshrc 
中 设 定 指令 的 别名 。 

参数 ， 厂 不 加 任何 参数 ， 则 列 出 目前 所 有 的 别名 设置 。 
unset 

功能 说 明 : 删除 变量 或 函数 。 

语法 : unset [-fv][ 变 量 或 函数 名 称 ] 

使 用 说 明 : unset 为 shell 内 建 指令 ， 可 删除 变量 或 函数 。 

参数 : 

a-f: 仪 删 除了 水 数 。 

E -V: 仅 删 除 变 量 。 
unalias 

功能 说 明 : 删除 别名 。 

语法 : unalias [-a][ 别 名 ] 

使 用 说 明 : unalias 为 shell 内 建 指令 ， 可 删除 别名 设置 。 






































参数 : 
ma -a 删除 全 部 的 别名 。 
ulimit 


功能 说 明 : 控制 shell 程序 的 资源 。 

语法 : ulimit [-aHS][-c<core 文件 上 限 >][-d< 数 据 块 区 大 小 >][- 人 文件 大 小 >][-m< 内 存 大 
小 >][-n< 文 件数 目 >][-p< 绥 冲 区 大 小 >][-s< 堆 车 大 小 >][-t<CPU 时 间 >][-u< 程 序数 目 >][-v< 虚 拟 内 存 
大 小 >] 

使 用 说 明 : ulimit 为 shell 内 建 指令 ， 可 用 来 控制 shell 执行 程序 的 资源 。 
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set 


-à: 显示 目前 资源 限制 的 设 定 。 

-c<core 文件 上 限 >: 设 定 core 文件 的 最 大 值 ， 单 位 为 区 块 。 
-d< 数 据 市 区 大 小 >: 程序 数据 块 区 的 最 大 值 ， 单 位 为 KB。 
-人 < 文件 大 小 >: shell 所 能 建立 的 最 大 文件 ， 单 位 为 区 块 。 
-H: 设 定 资源 的 硬性 限制 ， 也 就 是 管理 员 所 设置 的 限制 。 
-m< 内 存 大 小 >: 指定 可 使 用 内 存 的 上 限 ， 单 位 为 玉 B。 

-n< 文 件数 目 >: 指定 同一 时 间 最 多 可 开启 的 文件 数 。 

-p< 绥 冲 区 大 小 >: 指定 管道 缓冲 区 的 大 小 ， 单 位 为 S12KB。 
-s< 堆 若 大 小 >: OoEMXESBLJER, HU KB. 

-S: 设 定 资 源 的 弹性 限制 。 

-«CPU 时 间 >: 指定 CPU 使 用 时 间 的 上 限 ， 单 位 为 秒 。 
-u< 程 序数 目 >: 用 户 最 多 可 开启 的 程序 数目 。 

-Vv< 虚 拟 内 存 大 小 >: 指定 可 使 用 的 虚拟 内 存 上 限 ， 单 位 为 KB。 











功能 说 明 : 设置 shell。 

语法 : set [+-abCdefhHklmnpPtuvx] 

使 用 说 明 : set 指令 能 设置 所 使 用 shell 的 执行 方式 ， 可 依照 不 同 的 需求 来 进行 设置 。 
参数 : 














-a: 标示 已 修改 的 变量 ， 以 供 输出 至 环境 变量 。 
-b: 使 被 中 目的 后 台 程 序 立 刻 回报 执行 状态 。 

-C: 转 同 所 产生 的 文件 ， 无 法 禾 新 已 存在 的 文件 。 
-d: shell 预 设 会 用 杂凑 表 记 忆 使 用 过 的 指令 ， 以 加 速 指令 的 执行 。 使 用 -d 参数 可 取消 。 
-e: 看 指令 传 回 值 不 等 于 0， 则 立即 退出 shell. 

-f: 取消 使 用 通配符 。 

-h: 目 动 记录 函数 的 所 在 位 置 。 

-H: shell: 可 利用 “!” 加 < 指令 编写 > 的 方式 来 执行 history 中 记录 的 指令 。 
-k: 指令 所 给 的 参数 都 会 被 视 为 此 指令 的 环境 变量 。 

-1: 记录 for 循环 的 变量 名 称 。 

-m: 使 用 监视 模式 。 

-n: 只 读 取 指令 ， 而 不 实际 执行 。 

-p: 局 动 优先 顺序 模式 。 

-P: 局 动 -P 参数 后 ， 执 行 指 令 时 ， 会 以 实际 的 文件 或 目录 来 取代 符号 连接 。 
-t: 执行 完 随 后 的 指令 即 退 出 shell。 

-u: 当 执 行 时 使 用 到 未 定义 过 的 变量 ， 则 显示 错误 信息 。 

-v: 显示 shell 所 谈 取 的 输入 值 。 

x: 执行 指令 后 ， 会 先 显 示 该 指令 及 其 下 的 参数 。 

+< 参 数 >: 取消 某 个 set 曾 司 动 的 参数 。 
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rmmod 


功能 说 明 : 删除 模块 。 

语法 : rmmod [-as][ 模 块 名 称 ...] 

使 用 说 明 : 执行 rmmod 指令 ,可 删除 不 需要 的 模块 。Linux 操作 系统 的 核心 具有 模块 化 的 特 
性 ， 因 此 在 编 详 核 心 时 ， 必 须 把 全 部 的 功能 都 放 入 核心 。 你 可 以 将 这 些 功 能 编译 成 一 个 个 单独 的 
模块 ， 符 有 需要 时 再 分 别 载 入 它们 。 














a -a 删除 所 有 目前 不 需要 的 模块 。 
a —-s: 把 信息 输出 至 syslog 间 驻 服务 ， 而 非 终 疹 机 界面 。 





resize 
功能 说 明 : 设置 终 问 机 视窗 的 大 小 。 
语法 : resize [-cuj[-s< 列 数 >< 行 数 >] 
使 用 说 明 : 执行 resize 指令 可 设置 虚拟 终 闹 机 的 视窗 大 小 。 
参数 : 
"c: 就 算 用 户 环 境 并 非 C Shell， 也 用 C Shell 指令 改变 视窗 大 小 。 
a -5< 列 数 >< 行 数 >: 设置 终 问 机 视窗 的 王 直 高 上 度 和 水 平 宽度 。 
= u: 了 怠 算 用 户 环境 并 非 Bourne Shell， 也 用 Bourne Shell 指令 改变 视窗 大 小 。 








sndconfig 
功能 说 明 : 设置 声卡 。 
语法 : sndconfig [--help][--noautoconfig][--noprobe] 
使 用 说 明 : sndconfig 为 声卡 设置 程序 ， 文 持 PnP 设置 ， 可 目 动 检测 并 设置 PnP 声卡 。 
参数 : 
= — —help: bz). 
= ——noautoconfig: 不 自动 设置 PnP 的 声卡 。 
a  —noprobe: 不 目 动 检测 PnP 声卡 。 





setup 
功能 说 明 : 设置 公用 程序 。 
语法 : setup 











使 用 说 明 : setup 是 一 个 设置 公用 程序 、 提 供 图 形 界 面 的 操作 方式 。 在 setup 中 可 设置 以 下 7 
类 选项 。 

a 登录 认证 方式 。 

= UI Be 

= WAS. 

a ”开机 时 所 要 局 动 的 系统 服务 。 

”声卡 组 态 设置 。 

= BID. 
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4 X Windows 组 态 设 置 。 
setenv 

功能 说 明 : 得 询 或 显示 环境 变量 。 

语法 : setenv [变量 名 称 ][ 变 量 值 ] 

使 用 说 明 : setenv 为 tsch 中 得 询 或 设置 环境 变量 的 指令 。 
setconsole 

功能 说 明 : 设置 系统 终端 。 

语法 : setconsole [video][serial][ttya][ttyb] 

使 用 说 明 : setconsole 可 用 来 指定 系统 终端 。 

参数 : 

a seria: 使 用 PROM 终端 。 

= ”ttya,cua0 或 ttyS0: 使 用 第 1 PR EL TED £e 

= ttyb,cual 或 ttyS1: 使 用 第 2 个 串口 设备 作为 终 剖 。 

a — video: 使 用 主机 上 的 现 卡 作为 终 病 。 


reset 

















语法 : tset[-IQqrs][-][-e ch][-I ch][-k ch][-m mapping][terminal] 

使 用 说 明 : reset 其 实 和 tset 是 同一 个 命令 ， EWR I E P PD LAG «XB XC n 
HJEMR AC. amm Fl eX e HI ZH CE H BUZE DL). WRITERS E: V: HU 
话 ， 这 个 程序 会 要 求 使 用 者 输入 终端 机 的 型 别 。 由 于 这 个 程序 会 将 终端 机 设 回 原始 的 状态 ， 除 了 
在 login 时 使 用 外 ， 当 系统 终端 机 因为 程序 不 正常 执行 而 进入 一 些 奇怪 的 状态 时 ， 你 也 可 以 用 它 
o ERU 例如 不 小 心 把 二 进位 挡 用 cat 指令 进 到 终 站 机 ,第 会 有 终 疹 机 不 再 回应 键盘 输入 ， 
或 是 回应 一 些 奇怪 字 元 的 问题 ， 此 时 就 可 以 用 reset 将 终 病 机 恢复 全 原始 状态 。 

参数 

"p: 将 终 病 机 关 别 显示 在 屏 医 上， 但 不 做 设 定 的 动作 。 这 个 命令 可 以 用 来 取得 目前 终 病 

机 的 类 列 。 

=  -ech: 将 erase 字 元 设 成 ch。 

E -1 ch: 将 中 汤池 元 设 成 ch. 

a  -kch: 将 删除 一 行 的 第 元 设 成 ch. 

a -l 不 要 做 设 定 的 动作 ， 如 果 没 有 使 用 选项 -Q 的 话 ，erase、 中 渐 及 删除 学 元 的 目前 值 

IK AS SUBE E. 

ma -Q: 不 要 显示 erase 中 断 及 删除 字 元 的 值 到 屏幕 上 。 

wr Jm S BEBE Ls 

mn o-s: 将 设 定 TERM HB dam HIE EREE A mL, 38 5$f6.login 或 profile "PH. 





























pwunconv 


功能 说 明 : 关 财 用 尸 的 投影 密码 。 


语法 : pwunconv 
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使 用 说 明 : 执行 pwunconv 指令 可 以 关闭 用 户 投 影 密码 ， 它 会 把 密码 从 shadow XFA, Œ 
回 存 到 passwd 文件 里 。 
pwconv 

功能 说 明 : JTJ4 HI HH PCS a 3. 

语法 : pwconv 

使 用 说 明 : Linux 系统 里 的 用 户 和 和 群 组 密码 ， 分 别 存 放 在 名 称 为 passwd 和 group 的 文件 中 ， 
这 两 个 文件 位 于 /etc 目录 下 。 因 系统 运作 押 震 ， 任 何人 都 得 以 该 取 它 们 ， 造 成 安全 上 的 破 丝 。 投 
影 密码 将 文件 内 的 密码 改 存 在 /etc 目录 下 的 shadow 和 gshadow 文件 内 ， 只 人 允许 系统 管理 员 读 取 ， 
同时 把 原 密码 置换 为 “x” 和 字符 ， 有 效 地 强化 了 系统 的 安全 性 。 
passwd 

功能 说 明 : 设置 密 公 。 

语法 : passwd [-dklS][-u<- 仑 ][ 用 户 名 称 ] 

使 用 说 明 : passwd 指令 让 用 户 可 以 更 改 目 己 的 密码 ， 而 系统 管理 者 则 能 用 它 管 理 系统 用 户 
的 密码 。 只 有 省 理 者 可 以 指定 用 户 名 称 ， 一 般 用 户 只 能 变更 上 自己 的 密码 。 

参数 : 

a — -d: 删除 密码 。 本 参数 仅 有 系统 管理 者 才能 使 用 。 

a -fi 强制 执行 。 

mn ”-k: 设置 只 有 在 密码 过 期 失效 后 ， 方 能 更 新 。 

a -|: SEM, 

a o -S: 列 出 密码 的 相关 信息 。 本 参数 仅 有 系统 管理 者 才能 使 用 。 

a u: 解 开 已 上 锁 的 账号 。 
ntsysv 

功能 说 明 : 设置 系统 的 各 种 服务 。 

语法 : ntsysv [--back][--level< 等 级 代号 >] 

使 用 说 明 : 这 是 Red Hat 公司 遵循 GPL 规则 所 开发 的 程序 ， 它 共有 互动 式 操作 界面 ， 您 可 
以 轻 多 地 利用 方 问 键 和 衬 格 键 等 开局 、 关 闭 操作 系统 在 每 个 执行 等 级 中 所 要 执行 的 系统 服务 。 

参数 : 

a — —back: 在 互动 式 界 面 里 ， 显 示 Back 按钮 ， 而 非 Cancel 按钮 。 

a 。  --level< 等 级 代号 >: 在 指定 的 执行 等 级 中 ， 决 定 要 开局 或 天 闭 哪些 系统 服务 。 
modprobe 


功能 说 明 : 目 动 处 理 可 载 入 模块 。 

语法 : modprobe [-acdlrtvV][--help][ 模 块 文件 ][ 符 号 名 称 = 符号 值 ] 

使 用 说 明 : modprobe 可 载 入 指定 的 个 别 模 块 ， 或 是 载 入 一 组 相依 的 模块 。modprobe 会 根据 
depmod 所 产生 的 相依 关系 ， 决 定 要 载 入 哪些 模块 。 奉 在 载 入 过 程 中 发 生 错 误 ，modprobe Zl 
整 组 的 模块 。 

参数 : 
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-a 或 --all: 载 入 全 部 的 模块 。 

-c 或 --show-conf: 显示 所 有 模块 的 设置 信息 。 
-d 或 --debug: 使 用 排 错 模式 。 

-] 或 --list: 显示 可 用 的 模块 。 

-了 或 --remove: 模块 闲置 不 用 时 即 目 动 外 载 。 
-t 或 --type: 指定 模块 类 型 。 

-v 或 --verbose: 执行 时 显示 详细 的 信息 。 

-V 或 --version: 显示 版 本 信息 。 

-help: 显示 帮助 。 








modinfo 
功能 说 明 : 显示 kernel 模块 的 信息 。 
语法 : modinfo [-adhpV][ 模 块 文 件 ] 
使 用 说 明 : modinfo 会 显示 kernel 模块 的 对 象 文 件 ， 以 显示 该 模块 的 相关 信息 。 
参数 : 


-a 或 --author: 显示 模块 开发 人 员 。 

-d 或 --description: 显示 模块 的 说 明 。 

-h 或--help: 显示 modinfo 的 参数 使 用 方法 。 
-p 或 --parameters: 显示 模块 所 文 持 的 参数 。 
-V 或 --version: 显示 版 本 信息 。 








mkkickstart 
功能 说 明 : 建立 安装 的 组 态 文件 。 
语法 : mkkickstart [--bootp][--dhcp][--nonetj[--nox][--version][--nfs< 远 闪电 脑 :路 径 >] 
使 用 说 明 : mkkickstart 可 根据 目前 系统 的 设置 来 建立 组 态 文 件 ， 供 其 他 电脑 在 安装 时 使 用 。 


组 态 文 件 的 内 容 包 括 使 用 语言 、 网 络 环境 、 系 统 人 磁盘 状态 ， 























参数 : 


chroot 


--bootp: 安装 与 开机 时 使 用 BOOTP。 
--dhcp: 安装 与 开机 时 使 用 DHCP. 


--nfs< 远 并 电脑 :路 径 >: 使 用 指定 的 网 络 路 人 径 安 疙 。 





以 及 XWindows 的 设置 等 信息 。 





--nonet: 个 要 进行 网 络 设置 ， 即 假设 在 没有 网 络 环境 的 状态 下 。 


--nox: 个 要 进行 X Windows 的 环境 设置 。 
--version: 显示 版 本 信息 。 


功能 说 明 : KEI H Ko 


语法 : chroot [--help][--version][ 目 的 目录 ][ 执 行 指令 …] 





使 用 说 明 : 把 根 目录 换 成 指定 的 目的 目录 。 
参数 : 


--help: 在 线 帮助 。 
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mn — version: 显示 版 本 信息 。 
chkconfig 
功能 说 明 : 检查 ， 议 置 系统 的 各 种 服务 。 
语法 : chkconfig [--add][--del][--list][ 系 统 服务 ] 或 : chkconfig [--level< 等 级 代号 >][ 系 统 服 
^ ][on/off/reset] 
使 用 说 明 : 这 是 Red: Hat 公司 遵循 GPL 规则 所 开发 的 程序 ， 它 可 查询 操作 系统 在 每 一 个 执 
行 等 级 中 会 执行 哪些 系统 服务 ， 其 中 包括 各 类 常 驻 服务 。 
参数 : 
a ”--add: 增加 所 指定 的 系统 服务 ， 让 chkconfig 指令 得 以 管理 它 ， 并 同时 在 系统 局 动 的 叙 
述 文 件 内 增加 相关 数据 。 
mn — —del: 删除 所 指定 的 系统 服务 ， 不 再 由 chkconfig 指令 管理 ， 并 同时 在 系统 局 动 的 叙述 
文件 内 删除 相关 数据 。 
a ”--level< 等 级 代 写 >: 指定 谈 系 统 服务 要 在 哪 一 个 执行 等 级 中 开局 或 天 闭 。 


EVE 磁盘 管理 及 维护 命令 




















cd 


功能 说 明 : 切换 目录 。 

语法 : cd [目的 目录 ] 

使 用 说 明 : cd 指令 可 让 用 户 在 不 同 的 目录 间 切 换 ， 但 该 用 户 必 须 拥 有 在 够 的 权限 进入 目的 
Hx. 
df 

功能 说 明 : WRBA TS e 

语法 : df [-ahHikImPT][--block-size—-« X. B K ^ 2][-t« XC fF R £6 R 73 2] [-x« 3C fF Z8 S6 2S 
73 ][--help][--no-sync][--sync][--version][ X fF EX 3 4] 

使 用 说 明 : df 可 显示 人 磁盘 的 文件 系统 与 使 用 情形 。 

参数 : 

a -a 或 --all: 包含 全 部 的 文件 系统 。 

» ”--block-size=< 区 块 大 小 >: 以 指定 的 区 块 大 小 来 显示 区 块 数 目 。 

a -h 或 --human-readable: 以 可 读 性 较 融 的 方式 来 显示 信息 。 

a  -H 或--si: 与 -h 参数 相同 ， 但 在 计算 时 是 以 1000 Bytes 为 换算 单位 而 非 1024 Bytes. 

mn -ii 或 --inodes: 显示 inode 的 信息 。 

a — -kz--kilobytes: 指定 区 块 大 小 为 1024 F. 

a -l| 或 --local: 仪 显示 本 地 新 的 文件 系统 。 

=  -mX--megabytes: 指定 区 块 大 小 为 1 048 576 FE. 

» ”--no-sync: 在 取得 磁盘 使 用 信息 前 不 要 执行 sync 指令 ， 此 为 预 设 值 。 
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dirs 


-P 或 --portability: 使 用 POSIX 输出 格式 。 

--Sync: 在 取得 人 磁盘 使 用 信息 前 ， 先 执行 sync 指令 。 

-t< 文 件 系 统 类 型 > 或 --type=< 文 件 系 统 类 型 >: 仅 显 示 指 定 文件 系统 类 型 的 磁盘 信息 。 
-T 或 --print-type: 显示 文件 系统 的 类 型 。 

-Xx< 文 件 系统 类 型 > 或 --exclude-type=< 文 件 系 统 类 型 >: 不 要 显示 指定 文件 系统 类 型 的 人 磁 
盘 信息 。 

-help: 显示 帮助 。 

--Version: 显示 版 本 信息 。 

文件 或 设备 :指定 人 磁盘 设备 。 














功能 说 明 : 显示 目录 记录 。 

语法 : dirs [+/-n-]] 

使 用 说 明 : 显示 目录 堆 登 中 的 记录 。 
参数 : 


du 











m: 显示 从 左边 算 起 第 n 笔 的 目录 。 
-n: 显示 从 右边 算 起 第 mn 笔 的 目录 。 
-]: 显示 目录 完整 的 记录 。 








功能 说 明 : 显示 目录 或 文件 的 大 小 。 

语法 : du [-abcDhHklmsSx][-L< 符 号 连接 >][-X< 文 件 >][--block-size][--exclude=< 目 孙 或 文 
件 >][--max-depth=< 目 录 层 数 >][--help][--version][ 目 录 或 文件 ] 

使 用 说 明 : du 会 显示 指定 的 目录 或 文件 所 占用 的 磁盘 空间 。 

参数 : 











-a 或 -all: 显示 目录 中 个 别 文件 的 大 小 。 

-b 或 -bytes: 显示 目录 或 文件 大 小 时 ， 以 byte 为 单位 。 

-c 或 --total: 除了 显示 个 别 目录 或 文件 的 大 小 外 ， 同 时 也 显示 所 有 目录 或 文件 的 总 和 。 
-D 或 --dereference-args: 显示 指定 符号 连接 的 源 文件 大 小 。 

-h 或 --human-readable: DAK, M. G 为 单位 ， 提 高 信息 的 可 旋 性 。 

-H 或 --si: 与 -h 参数 相同 ， 但 是 K、M、G 是 以 1000 为 换算 单位 。 

-k 或 --kilobytes: 以 1024 bytes 为 单位 。 

-| 或 --count-links: 重复 计算 便 件 连接 的 文件 。 

-L< 和 从 写 连 接 > 或 --dereference< 符 写 连 接 >: 显示 选项 中 所 指定 符号 连接 的 源 文 件 大 小 。 
-m 或 --megabytes: 以 IMB 为 单位 。 

-s 或 --summarize: 仅 显 示 总 计 。 

-S 或 --separate-dirs: 显示 个 别 目 录 的 大 小 时 ， 并 不 含 其 子 目 录 的 大 小 。 

-x 或 --one-file-xystem: 以 一 开始 处 理 时 的 文件 系统 为 准 ， 硅 迪 上 其 他 不 同 的 文件 系统 
目录 则 略 过 。 

-X< 文 件 > 或 --exclude-ffom=< 文 件 >: 在 文件 指定 日 录 或 文件 。 
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» — —exclude-c H RKR fp»: 略 过 指定 的 目录 或 文件 。 
a  —-max-depth-- HoxJz Zi»: 超过 指定 层 数 的 目录 后 ， 了 予以 忽略 。 
2» — -help: 显示 帮助 。 
mn — version: 显示 版 本 信息 。 
edquota 
功能 说 明 : 编辑 用 户 或 群 组 的 quota. 
语法 : edquota [-p< 源 用 户 名 称 >][-ug][ 用 户 或 群 组 名 称 ...] 或 : edquota [-ug]-t 
使 用 说 明 : edquota 预 设 会 使 用 vi 来 编辑 使 用 者 或 群 组 的 quota 设置 。 
参数 : 
a ”-u; KWAM H quota， 这 是 预 设 的 参数 。 
"» ”-g: 设置 群 组 的 quota. 
a -p< 源 用 户 名 称 >: 将 源 用 户 的 quota 设置 套用 全 其 他 用 户 或 群 组 。 
mn t: 设置 宽 限 期 限 。 














eject 
功能 说 明 : 退出 抽取 式 设 备 。 
语法 : eject [-dfhnqrstv][-a< 开 关 >][-c< 光 驱 编 号 >][ 设 备 ] 
使 用 说 明 : FRACA, M eject ZU AV ED ER FER He 
参数 : 
a KA: 设备 可 以 是 驱动 程序 名 称 ， 也 可 以 是 挂 入 点 。 
a -a< 开 关 > 或 --auto< 开 关 >: 控制 设备 的 目 动 退出 功能 。 
a -Cc< 光 驱 编 号 > 或 --changerslut< 光 驱 编 写 >: 选择 光驱 柜 中 的 光驱 。 
»  -d 或 --default: 显示 预 设 的 设备 ， 而 不 是 实际 执行 动作 。 
a ”-f 或 --floppy: 退出 抽取 式 磁 檀 。 
a ”-h 或 --help: 显示 帮助 。 
= -hn 或 --noop: 显示 指定 的 设备 。 
= -qd 或 --tape: 退出 磁带 。 
a -或 --cdrom: 退出 光盘 。 
a -s 或 --scsi: 以 SCSI 指令 来 退出 设备 。 
a  -(XX-trayclose: 关闭 光盘 的 托盘 。 
a -y 或 --verbose: 执行 时 ， 显 示 详 细 的 说 明 。 
Indir 
功能 说 明 : 连接 目录 内 容 。 
语法 : lndir [-ignorelinks][-silent][ 源 目录 ][ 目 的 目录 ] 
使 用 说 明 : 执行 Indir 指令 ， 可 一 口气 把 源 目 录 属 下 的 文件 和 子 目 录 统 统 建立 起 相互 对 应 的 
符号 连接 。 























a  -ignorelinks: 直接 建立 符号 连接 。 
561 


防线 


E dull Linux 安全 运 维 理念 和 实战 


562 


ls 


-silent: 不 显示 指令 的 执行 过 程 。 


功能 说 明 : 列 出 目录 内 容 。 

语法 : ls [-laAbBcCdDfFgGhHiklLmnNopqQrRsStuUvxX][-I< 范 本 样式 >][-T< 跳 格 字数 >][-w 
< 每 列 字 人 符 数 >][--block-size=< 区 块 大 小 >][--color=< 使 用 时 机 >][--format=< 列 表格 
式 >][--fll-time][--help][--indicator-style=< 标 注 样 式 >][--quoting-style=< 引 号 样式 >][--show-control 
-chars][--sort=< 排 序 方式 >][--time=< 时 间 惟 记 >][--version][ 文 件 或 目录 .…] 

使 用 说 明 : 执行 1s 指令 可 列 出 目录 的 内 容 ， 包 括 文件 和 子 目 录 的 名 称 。 

参数 : 














-1: 每 列 仪 显示 一 个 文件 或 目录 名 称 。 

-a 或 --all: 显示 所 有 文件 和 目录 。 

-A 或 --almost-all: 显示 所 有 文件 和 目录 ， 但 不 显示 现行 目录 和 上 层 目 录 。 

-b 或 --escape: Win Jh ANE. 

-B 或 --ignore-backups: 忽略 备份 文件 和 目录 。 

-e: 以 更 改 时 间 排 序 ， 显 示 文 件 和 目录 。 

-C: 以 由 上 人 至 下 ， 从 左 到 右 的 直行 方式 显示 文件 和 目录 名 称 。 

-d 或 --directory: 显示 目录 名 称 而 非 其 内 容 。 

-D 或 --dired: 用 Emacs 的 模式 产生 文件 和 目录 列表 。 

-: 此 参数 的 效果 和 同时 指定 “aU” 参 数 相同 ， 并 关闭 “1st” 参 数 的 效果 。 

-F 或 --classify: 在 执行 文件 、 目 录 、S$ocket、 符 号 连接 、 管 道 名 称 后 面 ， 各 目 加 上 “*?”、 

PL A MED 

-g: 此 参数 将 忽略 不 予 处 理 。 

-G 或 --no-group: 不 显示 和 群 组 名 称 。 

-h 或 --human-readable: 用 “K”、“M”、“G” 来 显示 文件 和 目录 的 大 小 。 

-H 或 --si: 此 参数 的 效果 和 指定 “-h ”参数 类 似 , 但 计算 单位 是 1000Bytes 而 非 1024Bytes。 
-i 或 --inode: 显示 文件 和 目录 的 inode 编写 。 

-I< 范 本 样式 > 或 --ignore=< 范 本 样式 >: 不 显示 符合 范本 样式 的 文件 或 目录 名 称 。 

-k 或 --kilobytes: 此 参数 的 效 末 和 指定 “block-size=1024” 人 参数 相同 。 

-]: 使 用 详细 格式 列表 。 

-L 或 --dereference: 如 遇 到 性 质 为 符号 连接 的 文件 或 目录 ， 有 直接 列 出 该 连接 所 指 回 的 原 
台 文 件 或 目录 。 

-m: 用 “,” 号 分 隅 每 个 文件 和 目录 的 名 称 。 

-n 或 --numeric-uid-gid: 以 用 户 识 别 码 和 和 群 组 识别 公 蔡 代 其 名 称 。 

-N 或 --literal: 直接 列 出 文件 和 目录 名 称 ， 包 括 控制 学 符 。 

-0: 此 参数 的 效 末 和 指定 “-1”: 参数 类 似 ， 但 不 列 出 群 组 名 称 或 识别 但 。 

-p 或 --file-type: 此 参数 的 效果 和 指定 “-F” 参 数 类 似 ， 但 不 会 在 执行 文件 名 称 后 面 加 
dd dE 

-q EX--hide-control-chars: H *?" SARIRI FInocTER HKE. 
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=  -Q 或 --quote-name: 把 文件 和 目 孙 名 称 以 “” 亏 标示 起 来 。 
a -或 --reverse: 反问 排序 。 
a  -R 或 --recursive: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 
a  -SEX-size: 显示 文件 和 目录 的 大 小 ， 以 区 块 为 单位 。 
a ”-S: 用 文件 和 目录 的 大 小 排序 。 
a ”-t: 用 文件 和 目录 的 更 改 时 间 排 序 。 
a ”-T< 跳 格 字符 > 或 --tabsize=< 跳 格子 数 >: 设置 跳 格 字 从 所 对 应 的 空 日 学 符 数 。 
a u: 以 最 后 存 取 时 间 排 序 ， 显 示 文 件 和 目录 。 
a -U: 列 出 文件 和 目录 名 称 时 不 予 排序 。 
a vi 文件 和 目录 的 名 称 列表 以 版 本 进行 排序 。 
a ”-W< 每 列 学 从 数 > 或--width=< 每 列 邹 符 数 >: 设置 每 列 的 最 大 字符 数 。 
a  -X: 以 从 左 到 右 ， 由 上 全 下 的 横 列 方式 显示 文件 和 目录 名 称 。 
mn -X: 以 文件 和 目录 的 最 后 一 个 扩展 名 排序 。 
» ”--block-size=< 区 块 大 小 >: 指定 存放 文件 的 区 块 大 小 。 
a  --format=< 列 表格 式 >: 配置 文件 和 目录 的 列表 格式 。 
»  --full-time: 列 出 完整 的 日 期 与 时 间 。 
a — --help: 在 线 帮 助 。 
» — --indicator-style=< 标 注 样式 >: 在 文件 和 有 目录 等 名 称 后 面 加 上 标注 ， 多 于 辨识 该 名 称 所 
属 的 类 型 。 
a  --quoting-syte=< 引 号 样式 >: 把 文件 和 目录 名 称 以 指定 的 引号 样式 标示 起 来 。 
a  --show-control-chars: 在 文件 和 目录 列表 时 ， 使 用 控制 字符 。 
a 。  --Sof 人 < 排序 方式 >: 配置 文件 和 目录 列表 的 排序 方式 。 
a  --time=< 时 间 戳 记 >: 用 指定 的 时 间 戳 记 取 代 更 改 时 间 。 
mn — —Version: 显示 版 本 信息 。 
mkdir 
功能 说 明 : 建立 目录 
语法 : mkdir [-p] [--help] [verbose] [--version] [-m< 目 隶属 性 >] [目录 名 称 ] 
使 用 说 明 : mkdir 可 建 并 目录 并 同时 设置 目录 的 权限 。 
参数 : 
ma -m«Hox/&tk»2k--modec Hox TE»: 建立 目录 时 同时 设置 目录 的 权限 。 
=  -pX-parents: 大 所 要 建 并 目录 的 上 层 目 录 尚 未 建立 ， 则 会 一 并 建 并 上 层 目 录 。 
2»  --help: 显示 帮助 。 
» — —Verbose: 执行 时 显示 详细 的 信息 。 
= — —Version: 显示 版 本 信息 。 















































pwd 
功能 说 明 : 显示 工作 目录 。 
语法 : pwd [--help][--version] 
使 用 说 明 : 执行 pwd 指令 可 立刻 得 知 您 目前 所 在 的 工作 目录 的 绝对 路 径 名 称 。 
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= ”--help: 在 线 帮 助 。 
mn ”--Version: 显示 版 本 信息 。 
quota 
功能 说 明 : 显示 磁盘 已 使 用 的 空间 与 限制 。 
语法 : quota [-quvV][ 用 户 名 称 ...] 或 : quota [-gqvV][ 群 组 名 称 …] 
使 用 说 明 : 执行 quota 指令 ， 可 得 询 磁 盘 空 间 的 限制 ， 并 得 知已 使 用 了 多 少 空间 。 
参数 : 
a -g: 列 出 群 组 的 磁盘 空间 限制 。 
a -q: 简明 列表 ， 只 列 出 超过 限制 的 部 分 。 
a o o-u: 列 出 用 户 的 磁盘 空间 限制 。 
a ”-V: 显示 该 用 户 或 群 组 ， 在 所 有 挂 入 系统 的 存储 设备 的 空间 限制 。 
[| -V: 显示 版 本 信息 。 
quotacheck 


功能 说 明 : 检查 人 磁盘 的 使 用 空间 与 限制 。 

语法 : quotacheck [-adgRuv][ 文 件 系 统 ...] 

使 用 说 明 : 执行 quotacheck 指令 ， 扫 描 挂 入 系统 的 分 区 ， 并 在 各 分 区 的 文件 系统 根 目 录 下 产 
^E quota.user 和 quota.group 文件 ， 设 置 用 户 和 群 组 的 倒 盘 空间 限制 。 

参数 : 

a  -a: 扫描 在 /ete/fstab 文件 里 ， 有 加 入 quota 设置 的 分 区 。 

a  -d: 详细 显示 指令 的 执行 过 程 ， 便 于 排 错 或 了 解 程序 执行 的 情形 。 

a o -gp: 扫 摘 了 厂 盘 空间 时 ， 计 算 每 个 群 组 识别 码 所 占用 的 目录 和 文件 数目 。 

a -R: 排除 根 目 孙 所 在 的 分 区 。 

a -u 扫 摘 了 厂 盘 空间 时 ， 计 算 每 个 用 户 识 别 码 所 占用 的 目录 和 文件 数目 。 

ma  -V: 显示 指令 的 执行 过 程 。 
tree 

功能 说 明 : 以 树 状 图 列 出 目录 的 内 容 。 

语法 : tree [-aACdDfFgilnNpqstux][-I< 范 本 样式 >][-P< 范 本 样式 >][ 目 录 .…] 

使 用 说 明 : 执行 tree 指令 ， 它 会 列 出 指定 目录 下 的 所 有 文件 ， 包 括 子 目录 里 的 文件 。 

参数 : 

wm: 显示 所 有 文件 和 目录 。 

mn ”-A: 使 用 ASNI 绘图 字符 显示 树 状 网 而 非 以 ASCI FFAS. 

a  -C: 在 文件 和 目录 清单 加 上 色彩 ， 便 于 区 分 各 种 类 型 。 

" -d: 显示 目录 名 称 而 非 内 容 。 

an -D: 列 出 文件 或 目录 的 更 改 时 间 。 

a -f 在 每 个 文件 或 目录 之 前 ， 显 示 完 整 的 相对 路 径 名 称 。 

a -F: 在 执行 文件 、 目 录 、Socket、 人 符号 连接 、 管 道 名 称 后 面 、 各 目 加 上 “*”、“/”、“=”、 
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"qQ" . "I". 
a  -g: 列 出 文件 或 目录 的 所 属 群 组 名 称 ， 没 有 对 应 的 名 称 时 ， 则 显示 群 组 识别 但 。 
wc 不 以 阶 梯 状 列 出 文件 或 目录 名 称 。 
a BAGNO: 不 显示 符合 范本 样 陈 的 文件 或 目录 名 称 。 
a -l 如 迪 到 性 质 为 符 吕 连接 的 目录 ， 和 直接 列 出 该 连接 所 指 回 的 原始 目录 。 
» o n: 不 在 文件 和 目录 清单 加 上 色彩 。 
a ”-N: 年 接 列 出 文件 和 目录 名 称 ， 包 括 控 制 子 符 。 
a  -p: 列 出 权限 标示 。 
«PAGO: 只 显示 符合 范本 样式 的 文件 或 目录 和 名称。 
" -q: 用 “?” 亏 取代 控制 字符 ， 列 出 文件 和 目录 名 称 。 
: 列 出 文件 或 目录 大 小 。 
: 用 文件 和 目录 的 更 改 时 间 排 序 。 
: 列 出 文件 或 目录 的 拥有 者 名 称 ， 没 有 对 应 的 名 称 时 ， 则 显示 用 户 识 别人 码 。 
: 将 范围 局 限 在 现行 的 文件 系统 中 ， 大 指定 目录 下 的 东 些 子 目 录 ， 存 放 于 万 一 个 文件 
系统 上 ， 则 将 该 子 目录 予以 排除 在 寻找 范围 外 。 
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umount 


功能 说 明 : SDEROCTEIRER. 

语法 : umount [-ahnrvV][-t< 文 件 系 统 类 型 >][ 文 件 系 统 ] 

使 用 说 明 : umount nJ3E Eg H Bi £e XE Linux 目录 中 的 文件 系统 。 

参数 : 

a  -a: 唉 载 /etc/mtab 中 记录 的 所 有 文件 系统 。 

= -h: 显示 帮助 。 

ao o-n: 凶 载 时 不 要 将 信息 存 入 /etc/mtab 文件 中 。 

a o -r: 敬 无 法 成 功 邓 载 ， 则 演 试 以 只 读 方 式 重 狐 挂 入 文件 系统 。 

mn ”-t< 文 件 系 统 类 型 >: 仪 锰 载 选 项 中 所 指定 的 文件 系统 。 

a  -V: 执行 时 显示 详细 的 信息 。 

" -Vi Ws s. 

a 文件 系统 : 除了 直接 指 定 文 件 系统 外 ， 也 可 以 用 设备 名 称 或 挂 入 点 来 表示 文件 系统 。 
sync 

功能 说 明 : KATEAK VISTAS 15 ARR. o 

语法 : sync [--help][--version] 

使 用 说 明 : 在 Linux 系统 中 ， 当 数据 需要 存 入 磁盘 时 ， 通 音 会 先 放 到 缓冲 区 内 ， 等 到 适当 的 
时 刻 再 号 入 磁盘 ， 这 样 可 提高 系统 的 执行 效率 。 

参数 : 

2» ”--help: 显示 帮助 。 


a — -version: 显示 版 本 信息 。 
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symlinks 

功能 说 明 : 维护 符号 连接 的 工具 程序 。 

语法 : symlinks [-cdrstv][ 目 录 ] 

使 用 说 明 : symlinks 可 检查 目录 中 的 符号 连接 ， 并 显示 符号 连接 类 型 。 以 下 为 symlinks 可 判 
源 的 符号 连接 类 型 。 

» ”absolute: 符号 连接 使 用 了 绝对 路 径 。 

=  dangling: 原始 文件 已 经 不 存在 。 

a lengthy: 符号 连接 的 路 径 中 包含 了 多 余 的 “../”。 

a messy: 符号 连接 的 路 径 中 包含 了 多 余 的 “/”。 

» other fs: 原始 文件 位 于 其 他 文件 系统 中 。 

» relative: 符号 连接 使 用 了 相对 路 径 。 


mn o-c: 将 使 用 绝对 路 径 的 符号 连接 转换 为 相对 路 径 。 

a  -d: 移 除 dangling 类 型 的 符号 连接 。 

ma -r: 检 和 奏 目录 下 所 有 子 目 录 中 的 符号 连接 。 

a  -s: 检查 lengthy 类 型 的 从 号 连接 。 

a t: 与 -c 一 并 使 用 时 ， 会 显示 如 何 将 绝对 路 径 的 符号 连接 转换 为 相对 路 径 ， 但 不 会 实际 
转换 。 

a v 显示 所 有 类 型 的 从 号 连接 。 


swapon 
功能 说 明 : 局 动 系统 交换 区 (swap area) 。 
语法 : swapon [-ahsV][-p< 优 先 顺序 >][ 设 备 ] 
使 用 说 明 : Linux 系统 的 内 存 管 理 必 须 使 用 交换 区 来 建立 虚拟 内 存 。 
参数 : 
a — -à: 将 /etc/fstab 文件 中 所 有 设置 为 swap 的 设备 局 动 为 交换 区 。 
= ch: 显示 帮助 。 
a -p< 优先 顺序 >: 指定 交换 区 的 优先 顺序 。 
ao o-s: 显示 交换 区 的 使 用 状况 。 
a  -V: 显示 版 本 信息 。 
swapoff 
功能 说 明 : 关闭 系统 交换 区 (swap area) 。 
语法 : swapoff [设备 ] 
使 用 说 明 : swapoff 实际 上 为 swapon 的 符号 连接 ， 可 用 来 天 闭 系 统 的 交换 区 。 








mkswap 
功能 说 明 : 设置 交换 区 (swap area) 。 
语法 : mkswap [-cf][-v0][-v1][ 设 备 名 称 或 文件 ][ 交 换 区 大 小 ] 
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使 用 说 明 : mkswap 可 将 人 磁盘 分 区 或 文件 设 为 Linux 的 交换 区 。 
参数 : 
mn -c 建立 交换 区 前 ， 先 检 醋 是 否 有 损坏 的 区 块 。 
"  -f: 在 SPARC 电脑 上 建立 交换 区 时 ， 要 加 上 此 参数 。 
a  -v0: 建立 旧式 交换 区 ， 此 为 预 设 值 。 
a -Vl: 建 并 狐 式 交换 区 。 
a ”交换 区 大 小 : 指定 交换 区 的 大 小 ， 单 位 为 1024 FI. 
mkinitrd 
功能 说 明 : 建立 要 载 入 ramdisk 的 映像 文件 。 
语法 : mkinitrd [-fv][--omit-scsi-modules][--version][--preload=< 模 块 名 称 >][--with=< 模 块 名 
称 >][ 映 像 文件 ] 
使 用 说 明 : mkinitrd 可 建立 映像 文件 ， 以 供 Linux 开机 时 载 入 ramdisk. 
参数 : 
a -f 知 指定 的 映像 文件 名 称 与 现 有 文件 重复 ， 则 上 履 盖 现 有 的 文件 。 
a  -V: 执行 时 显示 详细 的 信息。 
» — —omit-scsi-modules: 不 要 载 入 SCSI 模块 。 
» ”--preload=< 模 块 名 称 >: 指定 要 载 入 的 模块 。 
2» ”--With=< 模 块 名 称 >: 指定 要 载 入 的 模块 。 
mn ”--Version: 显示 版 本 信息 。 
mkfs 
功能 说 明 : 建立 各 种 文件 系统 。 
语法 : mkfs [-vVj[fs][- 人 < 文件 系统 类 型 >][ 设 备 名 称 ][ 区 块 数 ] 
使 用 说 明 : mkfs 本 身 并 不 执行 建立 文件 系统 的 工作 ， 而 是 去 调用 相关 的 程序 来 执行 。 
参数 : 
mn fs: 指定 建立 文件 系统 时 的 参数 。 
mn ”-f< 文 件 系 统 类 型 >: 指定 要 建立 何 种 文件 系统 。 
mn ”-V: 显示 版 本 信息 与 详细 的 使 用 方法 。 
mn ”-V: 显示 简要 的 使 用 方法 。 
mke2fs 
功能 说 明 : 建立 ext2 文件 系统 。 
语法 : mke2fs [-cFMqrSvV][-b< 区 块 大 小 >][- 人 < 不 连续 区 上 段 大 小 >][-< 字 节 >][-N<inode 数 >] 
[-1< 文 件 >][-L< 标 签 >][-m< 百 分 比值 >][-R=< 区 块 数 >][ 设 备 名 称 ][ 区 块 数 ] 
使 用 说 明 : mke2fs H Æ Linux 的 ext2 文件 系统 。 
参数 : 
» ”-b< 区 块 大 小 >: 指定 区 块 大 小 ， 蛙 位 为 学 市 。 
mn o-c: Tu fri du Wb. 
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-人 < 不 连续 区 段 大 小 >: 指定 不 连续 区 段 的 大 小 ， 单 位 为 字 节 。 
-F: 不 管 指 定 的 设备 为 何 ， 强 制 执 行 mke2fs。 

«f WB»: 指定 “学 市 /inode” 的 比例 。 

-N<inode 数 >: 指定 要 建立 的 inode 数目 。 

-]< 文 件 >: 从 指定 的 文件 中 ， 旋 取 文 件 补 损坏 区 块 的 信息 。 
-L< 标 签 >: 设置 文件 系统 的 标签 名 称 。 

-m< 百 分 比值 >: 指定 给 管理 员 体 留 区 块 的 比例 ， 预 设 为 5%. 
-M: 记录 最 后 一 次 挂 入 的 目录 。 

-q: 执行 时 不 显示 任何 信息 。 

-T: 指定 要 建立 的 ext2 文件 系统 版 本 。 

-R=< 区 块 数 >: Ve EPIS A. 

-S: 仅 与 入 superblock 与 group descriptors， 而 不 更 改 inode able. inode bitmap 以 及 block 
bitmap. 

-v: 执行 时 显示 话 细 信息 。 

-V: 显示 版 本 信息 。 














mkbootdisk 


功能 


说 明 : 建立 目前 系统 的 司 动 盘 。 


i 法 : mkbootdisk [--noprompt][--verbose][--version][--device« ix 备 >][--mkinitrdargs< 参 
数 >][kernel: 版 本 ] 


使 用 
参数 





说 明 : mkbootdisk 可 建立 目前 系统 的 局 动 盘 。 
--device< 设 备 >: 指定 设备 。 
--mkinitrdargs< 参 数 >: 设置 mkinitrd 的 参数 。 
-noprompt: 不 会 提示 用 户 插入 磁盘 。 
--verbose: 执行 时 显示 详细 的 信息 。 

--version: 显示 版 本 信息 。 





quotaoff 


功能 
语法 
使 用 
参数 


quotaon 


功能 





说 明 : 关闭 磁盘 空间 限制 。 

: quotao 任 [-aguv][ 文 件 系统 …] 

说 明 : 执行 quotaoff 指令 可 关闭 用 户 和 和 群 组 的 磁盘 空间 限制 。 
-a: 关闭 在 /etc/fstab 文件 里 加 入 quota 设置 的 分 区 的 空间 限制 。 
-g: 关闭 群 组 的 磁盘 空间 限制 。 

-u: 关闭 用 户 的 磁盘 空间 限制 。 

-Vv: 显示 指令 的 执行 过 程 。 














说 明 : 开局 磁盘 空间 限制 。 
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语法 : quotaon [-aguv][ 文 件 系统 …] 

使 用 说 明 : 执行 quotaon 指令 可 开局 用 户 和 和 群 组 的 磁盘 空间 限制 ， 各 分 区 的 文件 系统 根 目录 
必须 有 quota.user 和 quota.group 配置 文件 。 

参数 : 

a — -aà: 开局 在 /ect/fstab 文件 里 加 入 quota 设置 的 分 区 的 空间 限制 。 

a  -g: 开局 群 组 的 破 盘 空间 限制 。 

a — -u: 开局 用 户 的 磁盘 空间 限制 。 

mn  -V: 显示 指令 的 执行 过 程 。 
repquota 

功能 说 明 : 检查 磁盘 空间 限制 的 状态 。 

语法 : repquota [-aguv][ 文 件 系统 …] 

使 用 说 明 : 执行 repquota 指令 ,可 报告 磁盘 空间 限制 的 状况 ,清楚 地 得 知 每 位 用 户 或 每 个 群 
组 已 使 用 多 少 空间 。 

参数 : 

a — -a: 列 出 在 /etc/fstab 文件 里 ， 加 入 quota 设置 的 分 区 的 使 用 状况 ， 包 括 用 户 和 和 群 组 。 

sa  -g: 列 出 所 有 和 群 组 的 磁盘 空间 限制 。 

a o-u: 列 出 所 有 用 户 的 磁盘 空间 限制 。 

w  -V: 显示 该 用 户 或 群 组 的 所 有 衬 间 限制 。 
rmdir 

功能 说 明 : 删除 目录 。 

语法 : rmdir [-p][--help][--ignore-fail-on-non-empty][--verbose][--version][ 目 录 ...] 

使 用 说 明 : 当 有 空 目录 要 删除 时 ， 可 使 用 rmdir 指令 。 

参数 : 

a — -p 或 --parents: 删除 指定 目录 后 , 奋 该 目录 的 上 层 目录 已 变 成 军 目 孙 ,， 则 将 其 一 并 删除 。 

a — --help: 在 线 帮 助 。 

= —-ignore-fail-on-non-empty: 忽略 非 空 目录 的 错误 信息 。 

a — —Verbose: 显示 指令 的 执行 过 程 。 


a version: 显示 版 本 信息 。 

































































stat 

功能 说 明 : 显示 inode 内 容 。 

语法 : stat [文件 或 目录 ] 

使 用 说 明 : stat 以 文字 的 格式 来 显示 inode 的 内 容 。 
hdparm 

功能 说 明 : 显示 与 设 定 便 盘 的 参数 。 

语法 : hdparm [-CfeghiIqtTvyYZ][-a< 快 取 分 区 >][-A<0 或 1>][-c<LO 模式 >][-d<0 或 1>][-k<0 
或 1>][-K<0 或 1>][-m< 分 区 数 >][-n<0 或 1>][-p<PIO 模式 >][-P< 分 区 数 >][-r<0 或 1>][-S< 时 
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间 >][-u<0 或 1>][-W<0 或 1>][-X< 传 输 模式 >][ 设 备 ] 
使 用 说 明 : hdparm 可 检测 、 显 示 与 设 定 IDE 或 SCSI 便 盘 的 参数 。 
参数 : 


fsck 


-a< 抉 区 分 区 >: 设 定 读 取 文 件 时 ,预先 存 入 块 区 的 分 区 数 ， 若 不 加 上 “ 块 区 分 区 ”选项 ， 
则 显示 目前 的 设 定 。 

-A<0 或 1»: 启动 或 关闭 读 取 文 件 时 的 块 区 功能 。 

-c<T/O 模式 >: 设 定 IDE32 位 IO 模式 。 

-C: 检测 IDE 硬盘 的 电源 管理 模式 。 

-d«0 或 1»: 设 定 磁盘 的 DMA 模式 。 

-f: 将 内 存 绥 冲 区 的 数据 写 入 便 盘 ， 并 清除 缕 冲 区 .。 

-g: EERW Ak AKESA. 

-h: 显示 帮助 。 

-i: 显示 硬盘 的 硬件 规格 信息 ， 这 些 信 息 是 在 开机 时 由 人 硬盘 本 喘 所 提供 。 
C: 直接 恋 取 人 硬盘 所 提供 的 硬件 规格 信息 。 

-k<0 或 1>: 重 设 便 盘 时 ， 保 留 -4mu 参数 的 设 定 。 

-K«0 或 1>: 重 设 便 盘 时 ， 保 留 -APSWXZ 参数 的 设 定 。 
-m< 分 区 数 >: 设 定 便 盘 多 重 分 区 存 取 的 分 区 数 。 

-n<0 或 1]>: 忽略 便 盘 写 入 时 所 发 生 的 错误 。 

-p<PIO 模式 >: 设 定 便 盘 的 PIO 模式 。 

-P< 分 区 数 >: 设 定 硬盘 内 部 块 区 的 分 区 数 。 

-q: 在 执行 后 续 的 参数 时 ， 不 在 屏幕 上 显示 任何 信息 。 
-r<0 或 1>: 设 定 硬盘 的 读 写 模式 。 

-S< 时 间 >: 设 定 便 往 进入 省 电 横 式 前 的 等 待 时 间 。 

-t: 评估 人 硬盘 的 读 取 效 率 。 

-T: 评估 硬盘 块 区 的 读 取 效率 。 

-U<0 或 1»: 在 硬盘 存 取 时 ， 人 允许 其 他 中 断 要 求 同 时 执行 。 
-v: 显示 便 盘 的 相关 设 定 。 

-W«0 或 1>: 设 定 便 稻 的 写 入 块 区 。 

-x< 传 输 模式 >: 设 定 便 盘 的 传输 模式 。 

-y: 使 IDE 硬 柱 进入 省 电 模 式 。 

-Y: 使 IDE 硬盘 进入 睡眠 模式 。 

-Z: 关闭 某 些 Seagate 硬盘 的 自动 省 电 功 能 。 




















功能 说 明 : 检查 文件 系统 并 尝试 修复 错误 。 

语法 : fsck [-aANPrRsTV][-t< 文 件 系统 类 型 >][ 文 件 系 统 ...] 
使 用 说 明 : 当 文 件 系统 发 生 错 误 时 ， 可 用 fsck 指令 尝试 加 以 修复 。 
参数 : 








-a: 日 动 修复 文件 系统 ， 不 询问 任何 问题 。 
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a -A: 依照 /etc/fstab 配置 文件 的 内 容 ， 检 答 文 件 内 所 列 的 全 部 文件 系统 。 

a N: 不 执行 指令 ， 仅 列 出 实际 执行 会 进行 的 动作 。 

a  -P: 当 搭 配 “-A” 参 数 使 用 时 ， 则 会 同时 检查 所 有 的 文件 系统 。 

mn t: 及 用 互动 模式 ， 在 执行 修复 时 询问 问题 ， 让 用 户 得 以 确认 并 决定 处 理 方式 。 

2»  -R: 当 搭 配 “-A” 参 数 使 用 时 ， 则 会 略 过 /目录 的 文件 系统 不 予 检 查 。 

"« o-s: 依 序 执行 检查 作业 ， 而 非 同 时 执行 。 

a ”-t< 文 件 系 统 类 型 >: 指定 要 检查 的 文件 系统 类 型 。 

a -T: 执行 fsck 指令 时 ， 不 显示 标题 信息 。 

a ”-V: 显示 指令 的 执行 过 程 。 

fsck.ext2 
功能 说 明 : 检查 文件 系统 并 尝试 修复 错误 。 
语法 : fsckext2 [-acdfFnprsStvVy][-b« 4) X. 28 — ^ 4 p« He b» ][-B« X X ^] [-C S SUA 
器 >][-I<inode 缓冲 区 块 数 >][-VL< 损 坏 区 块 文件 >][-P< 处 理 inode 大 小 >][ 外 围 设 备 代 号 ] 

使 用 说 明 : 当 ext2 文件 系统 发 生 错 误 时 ， 可 用 fsck.ext2 指令 尝试 加 以 修复 。 

参数 : 

mn -a 目 动 修复 文件 系统 ， 不 询问 任何 问题 。 

a -b< KEAN: 指定 分 区 的 第 一 个 人 磁 区 的 起 始 地 址 ， 也 就 是 Super Block. 

a ”-B< 区 块 大 小 >: 设置 该 分 区 每 个 区 块 的 大 小 。 

ma e: 检查 指定 的 文件 系统 内 是 否 存 在 损坏 的 区 块 。 

a ”-C< 肥 和 斤 述 器 >: dH UO. fsckext2 指令 会 把 全 部 的 执行 过 程 都 交 由 其 刻 癌 叙述 ， 
便于 排 错 或 监控 程序 执行 的 情形 。 

a  -d: 详细 显示 指令 的 执行 过 程 ， 便 于 排 错 或 分 析 程 序 执行 的 情形 。 

a -f 强制 对 该 文件 系统 进行 完整 检查 ， 即 使 该 文件 系统 在 概略 检查 下 没有 问题 。 

a ”-F: 检查 文件 系统 之 前 ， 先 清理 该 保存 设备 块 区 内 的 数据 。 

a  -I«inode 绥 冲 区 块 数 >: 议 置 欲 检查 的 文件 系统 ， 其 inode 绥 冲 区 的 区 块 数目 。 

a -KHAK >: 把 文件 中 所 列 出 的 区 块 ， 视 为 损坏 区 块 并 将 其 标示 出 来 ， 避 免 应 用 
程序 使 用 该 区 块 。 

ma  -L< 损 坏 区 块 文件 >: 此 参数 的 效果 和 指定 “-1” 参 数 关 似 ， 但 在 参考 损坏 区 块 文件 标示 
损坏 区 块 之 前 ， 会 移 将 原来 标示 成 损坏 区 块 者 统统 清除 ， 即 全 部 重新 设置 ， 而 非 仪 是 
加 入 新 的 损坏 区 块 标示 。 

sa on: 把 欲 检 查 的 文件 系统 设 成 只 谈 ， 并 关闭 互动 模式 ， 否 决 所 有 询问 的 问题 。 

a -p: 此 参数 的 效果 和 指定 “-a” 参 数 相同 。 

a ” -P< 处 理 inode 大 小 >: 设置 fsck.ext2 指令 所 能 处 理 的 inode 大 小 为 多 少 。 

a r: 此 参数 将 忽略 不 予 处 理 ， 仅 负责 解决 兼容 性 的 问题 。 

a o-s: 检 得 文件 系统 时 ， 区 换 每 对 字 节 的 内 容 。 

mn ”-S: 此 参数 的 效果 和 指定 “-s” 参 数 类 似 ， 但 不 论 该 文件 系统 是 人 否 已 是 标准 位 顺序 ， 一 
律 交 换 每 对 字 节 的 内 容 。 

a-t: 显示 fsck.ext2 指令 的 时 序 信息 。 

mn -v 详细 显示 指令 的 执行 过 程 。 
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mn -V: 显示 版 本 信息 。 
a -y 关闭 互动 模式 ， 且 同意 所 有 询问 的 问题 。 
fdisk 
功能 说 明 : 磁盘 分 区 。 
语法 : fdisk [-b< 分 区 大 小 >][-uv][ 外 围 设 备 代 号 ] 
m: fdisk [-H[-b< 分 区 大 小 >][-uv][ 外 围 设备 代号 …] 
Hk: fdisk [-s< 分 区 编号 >] 
使 用 说 明 : fdik 是 用 来 磁盘 分 区 的 程序 ， 它 采用 传统 的 问答 式 界面 ， 而 非 类 似 DOS fdisk 
的 cfdisk 互动 式 操 作 界 面 ， 因 此 在 使 用 上 较为 不 便 ， 但 功能 却 丝 训 不 打折 扣 。 
参数 : 
mn ”-b< 分 区 大 小 >: 指定 每 个 分 区 的 大 小 。 
a  -]: 列 出 指定 的 外 围 设备 的 分 区 表 状 况 。 
mn ” -Ss< 分 区 编写 >: 将 指定 的 分 区 大 小 输出 到 标准 输出 上 ， 单 位 为 区 块 。 
a u: 搭配 “-1” 参 数列 表 ， 会 用 分 区 数目 取代 柱 面 数目 来 表示 每 个 分 区 的 起 始 地 址 。 
a v: 显示 版 本 信息 。 
e2fsck 


功能 说 明 : 检查 ext2 文件 系统 的 正确 性 。 

语法 : e2fsck [-acCdfFnprsStvVy][-b«superblock?][-B«DX EX /»][- 3C fF» ][-L—x £F» ] 5 48 
名 称 ] 

使 用 说 明 : e2fsck 执行 后 的 传 回 值 及 代表 意义 如 下 。 

a 0: 没有 任何 错误 发 生 。 

a 1: 文件 系统 发 生 错 误 ， 并 且 已 经 修正 。 

2: 文件 系统 发 生 钳 误 ， 并 且 已 经 修正 。 

a 4: 文件 系统 上 友 生 错误 ， 但 没有 修正 。 

8: 运作 时 发 生 错 误 。 
a 16: 使 用 的 语法 发 生 错误 。 
a 128: 共 孚 的 函数 库 发 生 钱 误 。 
































» o -a 不 询问 使 用 者 意见 便 目 动 修复 文件 系统 。 

=  -b<superblock>: 指定 Superblock， 而 不 使 用 预 设 的 superblock- 

a  -B< 区 块 大 小 >: 指定 区 块 的 大 小 ， 单 位 为 学 节 。 

a ”-C: 一 并 执行 badblocks， 以 标示 损坏 的 区 块 。 

mn ”-C: 将 检查 过 程 的 信息 完整 记录 在 file descriptor 中 ， 使 得 整个 检查 过 程 都 能 完整 监控 。 
ma ”-d: uH e 

a -f:e 即使 文件 系统 没有 错误 迹象 ， 仍 强制 地 检查 正确 性 。 

mn -F: 执行 前 先 清 除 设备 的 绥 冲 区 .。 

a KAP: 将 文件 中 指定 的 区 块 加 到 损坏 区 块 列表 。 
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a -L«Xfp»: 先 清除 损坏 区 块 列表 ， 再 将 文件 中 指定 的 区 块 加 到 损坏 区 块 列表 。 因 此 损 
坏 区 块 列 表 的 区 块 跟 文件 中 指定 的 区 块 是 一 样 的 。 
«n: 以 只 读 模 式 开 局 文件 系统 ,， 并 采取 非 互 动 方 式 执 行 , 所 有 的 问题 对 话 均 设 置 以 “no” 








: 不 询问 使 用 者 意 匈 ， 便 目 动 修复 文件 系统 。 

: 此 参数 只 为 了 羔 容 性 而 存在 ， 并 无 实际 作用 。 

: 如 果 文 件 系 统 的 字 节 顺序 不 适当 ， 就 区 换 字 布 有 顺序 ， 否 则 不 做 任何 动作 。 
: 不 管 文件 系统 的 字 节 顺序 ， 一 律 交 换 池 节 顺 序 。 

显示 时 间 信 息 。 

: 执行 时 显示 详细 的 信息 。 

: 显示 有 版 本 信息 。 

: 采取 非 互 动 方式 执行 ， 所 有 的 问题 均 设 置 以 “yes” 回 答 。 











L| 
1 1 1 1 1 1 1 1 
uw 24 $5 0^5 9 ' 


dd 


功能 说 明 : 读 取 、 转 换 并 输出 数据 。 

语法 : dd [bs=< F 5 ZZ ][cbs-«^r 5 ZU ][conv-- X E ^£ 7][count-« EX E Zt »][ibs9« ^ 1 
数 >][i 伍 < 文件 >][obs=< 字 市 数 >][of=< 文 件 >][seek=< 区 块 数 >][skip=< 区 块 数 >][--help][--version|] 

使 用 说 明 : dd 可 从 标准 输入 或 文件 读 取 数据 ， 依 指定 的 格式 来 转换 数据 ， 再 输出 到 文件 、 
设备 或 标准 输出 。 

参数 : 

a  bs-—f HZ: 将 ibs GRA) 5 obs WME) 设 成 指定 的 字数 。 

mn  cbs-—r BAD: 转换 时 ， 每 次 只 转换 指定 的 字 节 数 。 

a ”conv=< 关 键 字 >: 指定 文件 转换 的 方式 。 

a ”count=< 区 块 数 >: 仪 读 取 指定 的 区 块 数 。 

a  ibs-—; HD: 每 次 恋 取 的 学 和 数 。 

a i<: 从 文件 读 取 。 

mn  obs-—f BA: 每 次 输出 的 学 市 数 。 

mn ”of=< 文 件 >: 输出 到 文件 。 

mn ”Seek=< 区 块 数 >: 一 开始 输出 时 ， 跳 过 指定 的 区 块 数 。 

a Skip=< 区 块 数 >: 一 开始 谈 取 时 ， 跳 过 指定 的 区 块 数 。 

= — —help: 帮助 。 

mn — -Version: 显示 版 本 信息 。 
badblocks 

功能 说 明 : 检 碍 全 盘 装置 中 损坏 的 区 块 。 

语法 : badblocks [-sSvw][-b< 区 块 大 小 >][-o< 输 出 文件 >][ 磁 盘 装 置 ][ 倍 盘 区 块 数 ][ 司 始 区 块 ] 

使 用 说 明 : 执行 指令 时 须 指 定 所 要 检 碍 的 磁盘 装置 ， 及 此 装置 的 磁盘 区 块 数 。 

参数 : 

a ”-b< 区 块 大 小 >: 指定 磁盘 的 区 块 大 小 ， 单 位 为 学 市 。 

a -0< 输 出 文件 >: 将 检查 的 结果 写 入 指定 的 输出 文件 。 
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a ”-s; 在 检查 时 显示 进度 。 

a  -V: 执行 时 显示 详细 的 信息 。 

a -w 在 检查 时 ， 执 行 写 入 测试 。 

sa ARRE: 指定 要 检查 的 侯 术 装置 。 

a 做 盘 区 块 数 : 指定 人 磁盘 装置 的 区 块 总 数 。 
a ”局 始 区 块 : 指定 要 从 哪个 区 块 开 始 检 枉 。 





















































ar 

功能 说 明 : 建立 或 修改 备 存 文件 ， 或 是 从 备 存 文件 中 抽取 文件 。 

语法 : ar[-dmpqrtx][cfosSuvV][a< 成 员 文件 >][b< 成 员 文 件 >][i< 成 员 文件 >][ 备 存 文件 ][ 成 员 文 件 ] 

使 用 说 明 : ar 可 让 您 集合 许多 文件 ， 成 为 单一 的 备 存 文件 。 在 备 存 文件 中 ， 所 有 成 员 文 件 缘 
你 有 原来 的 属性 与 权限 。 

HT S: 

= — -d: 删除 备 存 文 件 中 的 成 员 文 件 。 

as o m: 变更 成 员 文 件 在 备 存 文件 中 的 次 序 。 

a p: 显示 备 存 文 件 中 的 成 员 文 件 内 容 。 

a  -q: 将 文件 附加 在 备 存 文件 末 疹 。 

a r: 将 文件 搬入 备 存 文件 中 。 

a t: 显示 备 存 文件 中 所 包含 的 文件 。 

a ” -Xx:; 目 备 存 文 件 中 取出 成 员 文 件 。 

选项 参数 : 

sa< 成 员 文件 >: 将 文件 插入 备 存 文件 中 指定 的 成 员 文 件 之 后 。 

" ”了 b< 成 员 文件 >: 将 文件 插入 备 存 文件 中 指定 的 成 员 文 件 之 前 。 

a c: 建立 备 存 文件 。 

a f 为 避免 过 长 的 文件 名 不 兼容 于 其 他 系统 的 ar 指令 , 因此 可 利用 此 参数 , 截 掉 文 件 名 。 
bunzip2 


功能 说 明 : .bz2 文件 的 解压 缩 程序 。 

语法 : bunzip2 [-fkLsvV][.bz2 压缩 文件 ] 

使 用 说 明 : bunzip2 可 解压 缩 .pz2 格式 的 压缩 文件 。bunzip2 实际 上 是 bzip2 的 符号 连接 ， 执 

行 bunzip2 与 bzip2-d 的 效果 相同 。 

参数 : 

a -或 --force: 解压 缩 时 ， 寿 输出 的 文件 与 现 有 文件 同名 时 ， 预 设 不 会 禾 关 现 有 的 文件 。 
Himo WEH IES. 

» ”-k 或--keep: EEK, TRU AMERISOKBSHRH CIE. FRAR AEA EHE 
参数 。 

a -s 或 --small: 降低 程序 执行 时 内 存 的 使 用 量 。 

a — -V 或 --verbose: 解压 缩 文件 时 显示 详细 的 信息 。 


" -l--license,- V 或 --version: 显示 版 本 信息 。 
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bzip2 


功能 说 明 : .bz2 文件 的 压缩 程序 。 

语法 : bzip2 [-cdfhkLstvV z][--repetitive-best]--repetitive-fast][- Hs 418 ER] 4 Hs t8 BJ xc f] 

使 用 说 明 : bzip2 KHIARI, KIERR ERRAI LZTTILZTS 压缩 演算 法 来 得 好 。 
各 没有 加 上 任何 参数 ，bzip2 压缩 完 文 件 后 会 产生 .bz2 的 压缩 文件 ， 并 删除 原始 的 文件 。 

参数 : 

a -Cc 或 --stdout: 将 压缩 与 解压 缩 的 结束 送 到 标准 输出 。 

=  -dZk--decompress: 执行 解压 绚 。 

a -f 或 --force: bzip2 在 压 典 或 解压 央 时 ， 硅 输出 文件 与 现 有 文件 同名 ， 预 设 不 会 宪 新 现 

ALIF. FERM. VP HUC XR. 
=  -hxk-help: 显示 帮助 。 
a -k 或 --keep: bzip2 在 压缩 或 解压 盎 后 ， 会 删除 原始 的 文件 。 知 要 保留 原始 文件 ， 请 使 
用 此 参数 。 

a -s 或 --small: 降低 程序 执行 时 内 存 的 使 用 量 。 

a -或 --test: 测试 .bz2 压缩 文件 的 完整 性 。 

a  -VHX-verbose: 压缩 或 解压 缩 文 件 时 ， 显 示 详 细 的 信息 。 

= -z 或 --compress: 强制 执行 压缩 。 

a  -L,-icense: 显示 bzip2 的 许可 证 书 版 本 

a — -V 或 --version: 显示 版 本 信息 。 

»  --repetitive-best: 者 文 件 中 有 重复 出 现 的 资料 时 ， 可 利用 此 参数 提高 压缩 效果 。 

» X —repetitive-fast: 奋 文 件 中 有 重复 出 现 的 资料 时 ， 可 利用 此 参数 加 快 执 行 速度 。 

ma -JKE 压缩 时 的 区 块 大 小 。 
bzip2recover 

功能 说 明 : 用 来 修复 损坏 的 .bz2 文件 。 

语法 : bzip2recover [.bz2 压缩 文件 ] 

使 用 说 明 : bzip2 是 以 区 块 的 方式 来 压 红 文 件 ， 每 个 区 块 视 为 独立 的 单位 。 因 此 ， 当 菏 一 区 
块 损坏 时 ， 便 可 利用 bzip2recover 试 独 将 文件 中 的 区 块 隔 开 来 ， 以 便 解 压缩 正 利 的 区 块 。 通 第 只 
适用 在 压缩 文件 很 大 的 情况 。 


compress 


功能 说 明 : 压缩 或 解压 文件 。 

语法 : compress [-cdfrvV][-b< 压 缩 效 率 >][ 文 件 或 目录 …] 

使 用 说 明 : compress 是 个 历史 悠久 的 压缩 程序 ， 文 件 经 它 压缩 后 ， 其 名 称 后 面 会 多 出 “.Z?” 
的 扩展 名 。 当 要 解压 缚 时 ， 可 执行 uncompress 指令 。 事 实 上 uncompress 是 指 问 compress HJ4j 
连接 ， 因 此 不 论 是 压缩 或 解压 缩 ， 都 可 通过 compress 指令 单独 完成 。 

参数 : 

mn bE: 压缩 效率 是 一 个 介 于 9 一 16 的 数值 ， 预 设 值 为 “16”, 指定 愈 大 的 数值 ， 
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a o-c: 把 压缩 后 的 文件 输出 到 标准 输出 设备 ， 不 去 更 动 原 始 文件 。 
= -d: XISCUESETI EIS ARI AE Hs o 
a o -f:e 强制 保存 压缩 文件 ， 不 理会 文件 名 称 或 便 连 接 是 侣 存在 、 该 文件 是 人 否 为 符号 连接 以 
及 压缩 效率 高 低 的 问题 。 
a r: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 
a  -V: 显示 指令 的 执行 过 程 。 
sa  -V: 显示 指令 的 版 本 及 程序 了 预 设 值 。 
cpio 
功能 说 明 : 备份 文件 。 
语法 : cpio [-0aABckLovV][-C< 输 入 /输出 大 小 >][-F< 备 份 档 >][-H< 备 份 格式 >][-0< 备 份 
档 >][--block-size=< 区 块 大 小 >][--force-local][--help][--quiet][--version] 
ak: cpio [-bBcdfikmnrsStuvV][-C< 输 入 /输出 大 小 >][-E< 范 本 文件 >][-F< 备 份 档 >][-H< 备 份 格 
式 >][-IK< 备 份 档 >][-M< 回 传 信息 >][-R< 拥 有 者 ><:/>< 所 属 群 组 >][--block-size=< 区 块 大 
小 >][--force-local][--help][--no-absolute-filenames][--no-preserve-owner][--only-verify-crc][--quiet][-- 
sparse][--version][ 范 本 样式 …] 
ak: cpio [-0adkiLmpuvV][-R< 拥 有 者 ><:/.>< 所 属 群 组 >][--help][--no-preserve-owner][--quiet] 
[--sparse][--version][ H I] H 3€] 
使 用 说 明 : cpio 是 用 来 建立 、 还 原 备 份 档 的 工具 程序 ， 它 可 以 加 入 、 解 开 cpio 或 tra 备份 档 
内 的 文件 。 
参数 : 
a -0 或 --null: 接受 新 增 列 控制 字符 ， 通 第 配合 find 指令 的 “-print0” 参 数 使 用 。 
» -a 或 --reset-access-time: 重 狐 设置 文件 的 存 取 时 间 。 
= ”-A 或 --append: 附加 到 己 存 在 的 备份 档 中 ， 日 这 个 备份 档 必 须 存 放 在 人 磁盘 上 ， 而 不 能 放 
ELT BAD LR. 
a  -bzk-swap: 此 参数 的 效果 和 同时 指定 “-sS” 参 数 相同 。 
mn -B: 将 输入 /输出 的 区 块 大 小 改 成 5210 F. 
mn ” -c: (EHIH ASCH 备份 格式 。 
a  -C< 输 入 /输出 大 小 > 或 --io-size=< 区 块 大 小 >: 设置 输入 /输出 的 区 块 大 小 ， 单 位 是 字 他 。 
= -d 或 --make-directories: 如 有 需要 ，cpio 会 自行 建立 目录 。 
mn — -E< 江 本 文件 > 或 --pattern-file=< 范 本 文件 >: 指定 犯 本 文件 ,其 内 含有 一 个 或 多 个 苑 本 样 
式 ， 让 cpio 解 开 符 合 范本 条 件 的 文件 ， 格 式 为 每 列 一 个 范本 样式 。 
a -或 -nonmatching: 让 cpio 解 开 所 有 不 符合 范本 条 件 的 文件 。 
a -FE< 备 份 档 > 或 --file=< 备 份 档 >: 指定 备份 档 的 名 称 ， 用 来 取代 标准 输入 /和 输出， 也 能 供 
此 通过 网 络 使 用 另 一 台 主 机 的 保存 设备 存 取 备 份 档 。 
a -H< 备 份 格式 >: 指定 备份 时 欲 使 用 的 文件 格式 。 
=  -iH-extract: 执行 copy-in 模式 ， 还 原 备 份 档 。 
mn «oi: 指定 备份 档 的 名 称 ， 用 来 取代 标准 输入 ， 也 能 们 此 通过 网 络 使 用 另 一 合 主 
机 的 保存 设备 谈 取 备份 档 。 
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"Ck: 此 参数 将 忽略 不 予 处 理 ， 仅 负责 解决 cpio 不 同 版 本 则 的 兼容 性 问题 。 

a -l| 或 --link: 以 便 连 接 的 方式 取代 复制 文件 ， 可 在 copy-pass 模式 下 运用 。 

a  -L 或 --dereference: 不 建立 符号 连接 ， 和 直接 复制 该 连接 所 指 加 的 原始 文件 。 

= -m 或 preserve-modification-time: 不 去 更 换文 件 的 更 改 时 间 。 

a ”-M< 国 传 信 息 > 或 --message=< 回 传 信 息 >: 设置 更 换 你 存 媒体 的 信息 。 

a  -n 或 --numeric-uid-gid: 使 用 “-tv” 参 数列 出 备份 档 的 内 容 时 ， 硅 再 加 上 参数 “-n”， 
则 会 以 用 户 识 别 码 和 群 组 识别 码 蕉 代 拥 有 者 和 群 组 名 称 列 出 文件 清单。 

= -o 或 --create: 执行 copy-out 模式 ， 建 立 备 份 档 。 

mn -O«f ti: 指定 备份 档 的 名 称 ， 用 来 取代 标准 输出 ， 也 能 借 此 通过 网 络 使 用 男 一 台 
主机 的 保存 设备 存放 备份 档 。 

= -p 或 --pass-through: 执行 copy-pass 模式 ， 略 过 备份 步骤 ， 和 直接 将 文件 复制 到 目的 目录 。 

a -或 --rename: 当 有 文件 名 称 需 要 改动 时 ， 采 用 互动 模式 。 

a ”-R< 拥 有 者 ><:/.>< 所 属 群 组 > 或 ----owner< 拥 有 者 ><:/.>< 所 属 群 组 >: 在 copy-in 模式 还 原 
备份 档 ， 或 copy-pass 模式 复制 文件 时 ， 可 指定 这 些 备 份 、 复 制 的 文件 的 拥有 者 与 所 属 
群 组 。 

= -s 或 --swap-bytes: 交换 每 对 字 节 的 内 容 。 

= -S 或 --swap-halfwords: 交换 每 半 个 字 节 的 内 容 。 

a — -tEX--list: 将 输入 的 内 容 呈 现 出 来 。 

= -u 或 --unconditional: 置换 所 有 文件 ， 不 论 日 期 时 间 的 新 旧 与 否 ， 红 不 予 询问 而 百 接 复 兰 。 

a -y 或 --verbose: 详细 显示 指令 的 执行 过 程 。 

a -V 或 --dot: 执行 指令 时 ， 在 每 个 文件 的 执行 程序 前 面 加 上 “.” 号 。 

a ”--block-size=< 区 块 大 小 >: 设置 输入 /输出 的 区 块 大 小 ， 假 如 设置 数值 为 5， 则 区 块 大 小 
为 2500， 奉 设置 成 10， 则 区 块 大 小 为 5120， 以 此 类 推 。 

a ”--force-local: 强制 将 备份 档 存 放 在 本 地 主机 。 

= — —help: 在 线 帮助 。 

= ” --no-absolute-filenames: 使 用 相对 路 径 建 立 文 件 名 称 。 

a — —no-preserve-owner: 不 保留 文件 的 拥有 者 ， 谁 解 开 了 备份 档 ， 那 些 文件 瓯 归 谁 所 有 。 

a  -only-verify-crc: 当 备 份 档 采 用 CRC 备份 格式 时 ,可 使 用 这 项 参数 检查 备份 档 内 的 每 个 
文件 是 否 正确 无 误 。 

a  -—quiet: 不 显示 复制 了 多 少 区 块 。 

a  --sparse: 倘 奉 一 个 文件 内 含 大 量 的 连续 0 E, DUERME NX TETE RS X TE e 


a ”--Version: 显示 版 本 信息 。 












































dump 

功能 说 明 : 备份 文件 系统 。 

语法 : dump [-cnu][-0123456789][-b« X. B K ^ 2][-B« X. Ee Zt H »][-d« 25 J£ »][-f« Ve 4& Z 
称 >][-h< 层 级 >][-s< 磁 带 长 度 >][-T< 日 期 >][ 目 录 或 文件 系统 ] 

或 : dump [-wW] 

使 用 说 明 : dump 为 备份 工具 程序 ， 可 将 目录 或 整个 文件 系统 备份 至 指定 的 设备 ， 或 备份 成 
=A R PES 
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= — -0123456789: 备份 的 层级 。 

a ”-b< 区 块 大 小 >: 指定 区 块 的 大 小 ， 单 位 为 KB。 

a ”-B< 区 块 数目 >: 指定 备份 卷 册 的 区 块 数目 。 

a -c 修改 备份 磁 市 预 设 的 冤 度 与 容量 。 

a — -d< 密 上 度 >: 设置 磁带 的 密度 ， 单 位 为 BPI。 

a ”- 人 < 设备 名 称 >: 指定 备份 设备 。 

a -hR 当 备 份 层级 等 于 或 大 于 指定 的 层级 时 ， 将 不 备份 用 户 标 示 为 “nodump” 的 文件 。 

a n: 当 备 份 工作 需要 管理 员 介 入 时 ， 问 所 有 “operator” 和 群 组 中 的 使 用 者 发 出 通知 。 

a 。 -S< 做 带 长 度 >: SSH. PASA. 

a  -T< 日 期 >: 指定 开始 备份 的 时 间 与 日 期 。 

«Uu 备份 完毕 后 ， 在 /etc/dumpdates 中 记录 备份 的 文件 系统 、 层 级 、 日 期 与 时 间 等 。 

a  -w: 与 -W 类 似 ， 但 仅 显 示 需 要 备份 的 文件 。 

a  -W: 显示 需要 备份 的 文件 及 其 最 后 一 次 备份 的 层级 、 时 间 与 日 期 。 
gunzip 

功能 说 明 : 解压 文件 。 

语法 : gunzip [-acfhlLnNdqrtvV][-S< 压 缩 字 尾 字 符 串 >][ 文 件 …] 

或 : gunzip [-acfhlLnNqrtvV][-s< 压 缩 字 尾 字 符 串 >][ 目 录 ] 

使 用 说 明 : gunzip 是 一 个 使 用 广泛 的 解压 缩 程 序 ， 它 用 于 解 开 被 gzip 压缩 过 的 文件 ， 这 些 
压缩 文件 预 说 最 后 的 扩展 名 为 “.gz”。 事 实 上 gunzip 就 是 gzip 的 使 连接， 因此 不 论 是 压缩 或 解 
压缩 ， 都 可 通过 gzip 指令 单独 完成 。 















































mn  -aHV-asci: EH ASCI 文字 模式 。 

a — -C 或 --stdout 或 --to-stdout 把 解压 后 的 文件 输出 到 标准 输出 设备 。 

= — -Í 或 -force: 强行 解 开 压 缩 文 件 ， 不 理会 文件 名 称 或 便 连 接 是 否 存 在 以 及 该 文件 是 否 为 
侍 号 连接 。 

=  -hiX-help: 在 线 帮 助 。 

a -1 或--list: 列 出 压缩 文件 的 相关 信息 。 

a  -L 或 --license: 显示 版 本 与 版 权 信 息 。 

a  -n 或 --no-name: 解压 顷 时 ， 硅 压 缉 文件 内 含有 原来 的 文件 名 称 及 时 间 鹤 记 ， 则 将 其 名 























WANT ABER. 
= -N 或 --name: PEKAN, FRAEN RA SRRA ER, BUDE IRE 
到 解 开 的 文件 上 。 


a  -qZk--quiet: 不 显示 警告 信息 。 

»  -T 或 --Tfecursive: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 
ma  -SCI&A-r FN In-am-suffixx Air Fé m»: 更 改 压 缩 字 尾 宇 符 串 。 
a -或 --test: INAEM XC TEE fT EB CUR o 

a -y 或 --verbose: 显示 指令 的 执行 过 程 。 
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a — -V 或 --version: 显示 版 本 信息 。 
gzexe 

功能 说 明 : 压缩 执行 文件 。 

语法 : gzexe [-d][ 执 行文 件 …] 

使 用 说 明 : gzexe 是 用 来 压缩 执行 文件 的 程序 。 当 您 去 执行 被 压缩 过 的 执行 文件 时 ， 该 文件 
会 目 动 解压 ， 然 后 继续 执行 ， 和 使 用 一 般 的 执行 文件 相同 。 

参数 : 

s。 -d: 解 开 压缩 文件 。 
gzip 

功能 说 明 : 压缩 文件 。 

语法 : gzip [-acdfhILnNqrtvV ][-Sc Hs 415 Fé^£ 4 [Hs HE CRE ][-- best/fast][ XC f/T...] 

5X: gzip [-acdfhILnNqrtvV ][-S« s 4 F EFIT E >-< 3c 1[--best/fast][ H 3x] 

使 用 说 明 : gzip iÉ— T HI) i BUHsH REF. AFACERI, HBUAMUnImEM.gz" 
的 扩展 名 。 

参数 : 

mn -a 或 --ascii: 使 用 ASCII 文字 模式 。 

a -c 或 --stdout 或 --to-stdout: 把 压缩 后 的 文件 输出 到 标准 输出 设备 ， 不 去 改动 原始 文件 。 

=  -d 或 --decompress 或 ----uncompress: 解 开 压 缩 文 件 。 

a -或 --force: 强行 压缩 文件 。 不 理会 文件 名 称 或 硬 连 接 是 个 存 在 以 及 该 文件 是 否 为 符号 

连接 。 

a  -hiX-help: 在 线 帮 助 。 

a  -Dzk-list: 列 出 压缩 文件 的 相关 信息 。 

a  -L 或--license: 显示 有 版 本 与 版 权 信 息 。 

a -n 或 --no-name: 压缩 文件 时 ， 不 傈 存 原 来 的 文件 名 称 及 时 间 玲 记 。 

a -N 或 -name: 压缩 文件 时 ， 傈 存 原 来 的 文件 名 称 及 时 间 戳 记 。 

a  -qZk--quiet: 不 显示 警告 信息 。 

a  -rHX-recursive: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 孙 一 并 处 理 。 

a -SKi TETIT t» Bk----suffixx Air Fé Hm»: 更 改 压 缩 字 尾 字符 串 。 

a -或 --test: DEA C TET EBD V. 

a -y 或 --verbose: 显示 指令 的 执行 过 程 。 

= — -V 或 --version: 显示 版 本 信息 。 

a -< 压缩 效率 >: 压缩 效率 是 一 个 介 于 1 一 9 的 数值 ， 预 设 值 为 “6”， 指 定 愈 大 的 数值 ， 

a ”--best: 此 参数 的 效果 和 指定 “-9” 参 数 相 同 。 

» ”--fast: 此 参数 的 效果 和 指定 “-1” 参 数 相同 。 


lha 
功能 说 明 : 压缩 或 解压 缩 文 件 。 
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语法 : lha [-acdfglmnpqtuvx][-a«0/1/27/u«/0/1/27]|-«a/c/u»d][-«e/x»i][-«a/u7o][-«e/x^w-« H If] 
目录 >][-<a/u>z][ 压 缩 文 件 ][ 文 件 …] 

或 : [ha [-acdfglmnpqtuvx][-a«0/1/27/u«/0/1/2» ]| «a/c/u»d][-«e/x»1i][-«a/u»o][ -«e/x^w-« H If] H 
3&7 ][-«a/u»z] Hs A SC TF ]EH 3&...] 

使 用 说 明 : Iha 是 从 lharc HEMKE OCTEZS EH HR. BAINERA “zh” 








3 REA HH SCTE e 
23 


restore 


-4 或 a KAI, FIA UH ZR SCIEN 
-a«0/1/27/u«/0/1/22: 压缩 文件 时 ， 采 用 不 同 的 文件 头 。 

-c 或 c: 压缩 文件 ， 重 新 构建 新 的 压缩 文件 后 ， 再 将 其 加 入 。 

-d 或 d: 从 压缩 文件 内 删除 指定 的 文件 。 

-<a/c/u>d 或 <a/c/u>d: 压缩 文件 ， 然 后 将 其 加 入 ， 重 新 构建 、 更 新 压缩 文件 或 删除 原始 
文件 ， 也 就 是 把 文件 移 到 压缩 文件 中 。 

-e 或 e: 解 开 压缩 文件 。 

-f 或 f 强制 执行 lha 命令 ， 在 解压 时 会 直接 敌 盖 已 有 的 文件 而 不 加 以 询问 。 

-g 或 g: 使 用 通用 的 压 绚 格式 ， 便 于 解决 兼容 性 问题 。 

-<e/x>i 或 <e/x>i: 解 开 压 缩 文件 时 ， 忽 略 保存 在 压缩 文件 内 的 文件 路 径 ， 直 接 将 其 解压 
后 存放 在 现行 目录 下 或 是 指定 的 目录 中 。 

-1 或 1: 列 出 压缩 文件 的 相关 信息 。 

-m Ek m: 此 参数 的 效果 和 同时 指定 “-ad” 参 数 相同 。 

-n 或 n: 不 执行 指令 ， 仅 列 出 实际 执行 会 进行 的 动作 。 

-«a/u»o 或 <a/u>o: 采用 lhare JERIA, ERA AMA, EAE. 

-p EK p: 从 压缩 文件 内 输出 到 标准 输出 设备 。 

-qd 或 q: 不 显示 指令 执行 过 程 。 

tkt: 检查 备份 文件 内 的 每 个 文件 是 否 正 确 无 误 。 

-u 或 u: 更 换 较 新 的 文件 到 压缩 文件 内 。 

-u</0/1/2> 或 u</011/2>: 在 文件 压缩 时 采用 不 同 的 文件 头 ， 然 后 更 新 到 压缩 文件 内 。 
-V 或 v: 详细 列 出 压缩 文件 的 相关 信息 。 

-«e/x»w-« H If] H 3€» 3k <e/x>w=< H I Hox»: 指定 解压 缩 的 目录 。 

-x 或 x: 解 开 压缩 文件 。 

-<a/u>z 或 <a/u>z: 不 压缩 文件 ， 直 接 把 它 加 入 ， 更 新 压缩 文件 。 















































功能 说 明 : 还 原 CRestore) 由 倾倒 Dump) 操作 所 备份 下 来 的 文件 或 整个 文件 系统 一 个 


分 区 ) 。 


语法 : restore [-cCvy][-b< 区 块 大 小 >][-D< 文 件 系 统 >][- 人 < 备份 文件 >][-s< 文 件 编写 >] 
JY: restore [-chimvy][-b< 区 块 大 小 >][- 人 < 备份 文件 >][-s< 文 件 编写 >] 

Hk: restore [-crvy][-b< 区 块 大 小 >][- 人 < 备份 文件 >][-s< 文 件 编号 >] 

或 : restore [-cRvy][-b< 区 块 大 小 >][-D< 文 件 系 统 >][- 人 < 备份 文件 >][-s< 文 件 编写 >] 
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Hk: restore [chtvy][-b< 区 块 大 小 >][-D< 文 件 系 统 >][- 人 < 备份 文件 >][-s< 文 件 编写 >][ 文 件 .… 

Hk: restore [-chmvxy][-b< 区 块 大 小 >][-D< 文 件 系 统 >][- 人 备份 文件 >][-s< 文 件 编写 >][ 文 件 ..…] 

使 用 说 明 : restore 指令 所 进行 的 操作 和 dump 指令 相反 ， 倾 倒 操作 可 用 来 备份 文件 ， 而 还 原 
操作 则 是 写 回 这 些 已 备份 的 文件 。 

参数 : 

«be Ao»: 设置 区 块 大 小 ， 蛙 位 是 子 市 。 

sa o-c: 个 从 僵 倾 倒 操 作 的 备份 格式 ， 仪 准许 读 取 使 用 旧 格 式 的 备份 文件 。 

a ”-C: 使 用 对 比 模式 ， 将 备份 的 文件 与 现行 的 文件 相互 对 比 。 

a ”-D< 文 件 系 统 >:; 允许 用 户 指 定 文件 系统 的 名 称 。 

a -人 < 备份 文件 >: 从 指定 的 文件 中 读 取 备份 数据 ， 进 行 还 原 操作 。 

sa -h: 仅 解 出 目录 而 不 包括 与 该 目录 相关 的 所 有 文件 。 

a -i 使 用 互动 模式 ， 在 进行 还 原 操作 时 ，restore 指令 将 依 序 询问 用 户 。 

» m: 解 开 符合 指定 的 inode 编号 的 文件 或 目录 而 非 采用 文件 名 称 指定 。 

wr 进行 还 原 操作 。 

a R: 全 面 还 原文 件 系 统 时 ， 检 查 应 从 何 处 开始 进行 。 

a  -S< 文 件 编号 >: 当 备 份 数据 超过 一 苍 伺 市 时 ， 您 可 以 指定 备份 文件 的 编写 。 

a t: 指定 文件 名 称 ， 知 该 文件 已 存在 备份 文件 中 ， 则 列 出 它们 的 名 称 。 

s。  -V: 显示 指令 执行 过 程 。 

a -X 设置 文件 名 称 ， 且 从 指定 的 存储 浆 体 里 恋 入 它们 ， 知 该 文件 已 存在 备份 文件 中 ， 则 

将 其 还 原 到 文件 系统 内 。 
a o -ys 不 询问 任何 问题 ， 一 律 以 同意 回答 并 继续 执行 指令 。 























tar 

功能 说 明 : 备份 文件 。 

语法 : tar -ABedgGhiklmMoOpPrRsStuUvwWxzZ |[-b«Dx ik% H »][-C« H HJ H 3&2 ][- £9 4) c 
件 >][-F<Script 文件 >][-K< 文 件 >][-L< 媒 体 容 量 >][-N< 日 期 时 间 >][-T< 范 本 文件 >][-V< 卷 册 名 
称 >][-X< 范本 文件 >[< 4 9m v >< df fü WS BE >][--after-date=< 日 期 时 
IH] ][--atime-preserve][--backup--$& 7 77 3&7 ][--checkpoint][--concatenate][--confirmation][--delete] 
[--exclude-« 5G Jk f 3X» ][--force-local][--group- «f£ 2H 44 Ff» ][--help][--ignore-failed-read][--new 


-volume-script-«Script X f/F»][--newer-mtime][--no-recursion][--null][--numeric-owner][--owner-«H] 





P 名 Ww [-posix][--erve][--preserve-order][--preserve-permissions]|-record-size-- 区 SX 数 
H »][--recursive-unlink][--remove-files][--rsh-command--1A47 18 4» ][--same-owner][--suffix-— && 47 
T Fé T f$ FB 7][--totals][--use-compress-program-« 1A fT 18 49 »][--version][--volno-file-« £g = X: 
件 >][ 文 件 或 目录 .…] 

使 用 说 明 : tar 是 用 来 建立 、 还 原 备份 文件 的 工具 程序 ， 它 可 以 加 入 ， 解 开 备份 文件 内 的 文件 。 

参数 : 

= -A 或 --catenate: 独 增 文件 到 已 存在 的 备份 文件 。 

"« ”-b< 区 块 数 日 > 或 --blocking-factor=< 区 块 数 日 >: 设置 每 笔记 录 的 区 其 数目 ， 每 个 区 块 大 

小 为 12 字 节 。 
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-B 或 --read-full-records: 该 取 数 据 时 重 议 区 块 大 小 。 

-c 或 --create: 建立 新 的 备份 文件 。 

-C< 目 的 目录 > 或 --directory=< 目 的 目录 >: 切换 到 指定 的 目录 。 

-d 或 --di 任 或 --compare: 对 比 备 份 文件 内 和 文件 系统 上 的 文件 差异 。 

-人 < 备份 文件 > 或 --file=< 备 份 文件 >: 指定 备份 文件 。 

-F«Script 文件 > 或 --info-script=<Script 文件 >: 每 次 更 换 人 磁带 时 ， 束 执行 指定 的 Script 文件 。 
-g 或 --listed-incremental: 人 处理 GNU 格式 的 大 量 备份 。 

-G 或 --incremental: 处 理 旧 的 GNU 格式 的 大 量 备份 。 

-h 或 --dereference: 不 建立 符号 连接 ， 有 二 接 复制 该 连接 所 指 同 的 原始 文件 。 

-i 或 --ignore-zeros: 忽略 备份 文件 中 的 0 FEKK, (L4 EOF. 

-k 或 --keep-old-files: 解 开 备份 文件 时 ， 不 履 盖 已 有 的 文件 。 

-K< 文 件 > 或 --starting-file=< 文 件 >: 从 指定 的 文件 开始 还 原 。 

-] 或 --one-file-system: 复制 的 文件 或 目录 存放 的 文件 系统 ， 必 须 与 tar 指令 执行 时 所 处 
的 文件 系统 相同 ， 人 否则 不 予 复制 。 

-L< 媒 体 容 量 > 或 -tape-length=< 媒 体 容 量 >: 设置 存放 媒体 的 容量 ， 单 位 以 1024 FEE 
-m 或 --modification-time: 还 原文 件 时 ， 不 变更 文件 的 更 改 时 间 。 

-M 或 --multi-volume: 在 建立 、 还 原 备 份 文 件 或 列 出 其 中 的 内 容 时 ， 采 用 多 卷 册 模式 。 
-N< 日 期 时 间 > 或 --newer=< 日 期 时 间 >: 只 将 此 指定 日 期 更 狐 的 文件 保存 到 备份 文件 里 。 
-o 或 --old-archive 或 --portability: 将 资料 写 入 备份 文件 时 使 用 V7 格式 。 

-O 或 --stdout: 把 从 备份 文件 里 还 原 的 文件 输出 到 标准 输出 设备 。 

-p 或 --same-permissions: 用 原来 的 文件 权限 还 原文 件 。 

-P 或 --absolute-names: 文件 名 使 用 绝对 名 称 ， 不 移 除 文件 名 称 前 的 “/” 亏 。 

-r 或 --append: 痢 增 文件 到 已 存在 的 备份 文件 的 结尾 部 分 。 

-R 或 --block-number: 列 出 每 个 信息 在 备份 文件 中 的 区 块 编号 。 

-s 或 --same-order: 还 原文 件 的 顺序 和 备份 文件 内 的 存放 顺序 相同 。 

-S 或 --sparse: 倘 奉 一 个 文件 内 售 大 量 的 连续 0 宇和 有 ， 则 将 此 文件 存 成 稀 焉 文件 。 

-t 或 --list: 列 出 备份 文件 的 内 容 。 

-T« 3G A SC fF 9X--files-from--Y& R L F>: 指定 范本 文件 ， 其 内 含有 一 个 或 多 个 范本 样 
式 ， 让 tar 解 开 或 建立 符合 设置 条 件 的 文件 。 

-u 或 --update: 仅 置 换 较 备 份 文件 内 的 文件 更 新 的 文件 。 

-U zk--unlink-first: 解 开 压 缩 文 件 还 原文 件 乙 前 ， 先 解除 文件 的 连接 。 

-v Ek--verbose: 显示 指令 的 执行 过 程 。 

-V«5: da MI 3x --label-—65 Meo: 建立 使 用 指定 的 卷 册 名 称 的 备份 文件 。 

-w 或 --interactive: 遭遇 问题 时 先 询 问 用 户 。 

-W 或 --verify: 写 入 备份 文件 后 ， 确 认 文 件 正确 无 误 。 

-x Bk--extract 或 --get: 从 备份 文件 中 还 原文 件 。 

-X< 范 本 文件 > 或 --exclude-ffom=< 泄 本 文件 >: 指定 范 本 文件 ,其 内 含有 一 个 或 多 个 范本 
样式 ， 让 ar 排除 符合 设置 条 件 的 文件 。 

-Z 或 --gzip 或 --ungzip: 通过 gzip 指令 处 理 备 份 文 件 。 

-Z 或 --compress 或 --uncompress: 通过 compress 指令 处 理 备 份 文 件 。 
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mn -< 设备 编号 >< 存 储 密度 >: 设置 备份 用 的 外 围 设备 编 写 及 存放 数据 的 密度 。 

= ” --after-date=< 日 期 时 间 >: 此 参数 的 效果 和 指定 “-N” 参 数 相 同 。 

a  --atime-preserve: 个 释 更 文件 的 存 取 时 间 。 

= ”--backup=< 备 份 方 式 > 或 --backup: 移 除 文件 前 先进 行 备 份 。 

» ”--cCheckpoint: 谈 取 备份 文件 时 列 出 目录 名 称 。 

" -concatenate: 此 参数 的 效果 和 指定 “-A” 参 数 相 同 。 

»  --confirmation: 此 参数 的 效果 和 指定 “-w” 人 参数 相同 。 

a — —delete: 从 备份 文件 中 删除 指定 的 文件 。 

a ”--exclude=< 江 本 样式 >: 排除 符合 范本 样式 的 文件 。 

a  --group=< 和 群 组 名 称 >: 把 加 入 设备 文件 中 的 所 属 群 组 设 成 指定 的 群 组 。 

a ”--help: 在 线 帮 助 。 

» ”--ignore-failed-read: 忽略 数据 读 取 错 误 ， 不 中 断 程序 的 执行 。 

a — —new-volume-script-«Script X fF»: 此 参数 的 效果 和 指定 “-FE” 参 数 相同 。 

a  --newer-mtime: 只 保存 更 改过 的 文件 。 

a —-no-recursion: 不 做 递归 处 理 ， 也 了 吏 是 指定 目录 下 的 所 有 文件 及 和子 目录 不 予 处 理 。 

»  --null: 从 null 设备 读 取 文件 名 称 。 

a  --numeric-owner: 以 用 户 识别 码 及 群 组 识别 码 取 代用 户 名 称 和 和 群 组 名 称 。 

a  —owner-«JH ^ AA MK»: 把 加 入 备份 文件 中 的 拥有 者 设 成 指定 的 用 户 。 

» — —posix: 将 数据 写 入 备份 文件 时 使 用 POSIX 格式 。 

a ”--erve: : 此 参数 的 效果 和 指定 “-ps” 参 数 相同 。 

» — -preserve-order: 此 参数 的 效果 和 指定 “-A” 参 数 相同 。 

a ”--preserve-permissions: 此 参数 的 效果 和 指定 “-p” 参 数 相同 。 

a ”--record-size=< 区 块 数目 >: 此 参数 的 效果 和 指定 “-b” 参 数 相 同 。 

a ”--recursive-unlink: 解 开 压缩 文件 还 原 目 录 之 前 ， 先 解除 整个 目录 下 所 有 文件 的 连接 。 

a — —remove-files: 文件 加 入 备份 文件 后 ， 束 将 其 删除 。 

a ”--rsh-command=< 执 行 指 令 >: 设置 要 在 远 问 主机 上 执行 的 指令 ， 以 取代 Tsh 指令 。 

a — -same-owner: 尝试 以 相同 的 文件 拥有 者 还 原文 件 。 

a -suffix TETIT R>: 移 除 文件 前 先行 备份 。 

a — —totals: 备份 文件 建立 后 ， 列 出 文件 大 小 。 

» — —use-compress-program--3A411H v7: 通过 指定 的 指令 处 理 备 份 文件 。 

mn — —Version: 显示 版 本 信息 。 

» — --volno-file=< 编 写 文件 >: 使 用 指定 文件 内 的 编号 取代 预 设 的 卷 册 编 号 。 
unarj 

功能 说 明 : 解压 缩 :arj 文件 。 

语法 : unarj [eltx][.arj 压缩 文件 ] 

使 用 说 明 : unarj 为 .arj 压缩 文件 的 压缩 程序 。 

参数 : 

a e: 解压 缩 .arj 文件 。 

a ”1: 显示 压缩 文件 内 所 包含 的 文件 。 
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unzip 


Zip 


功能 说 明 : ATH zip 文件 。 

语法 : unzip [-cflptuvz][-abCjLMnoqsVX][-P< 密 码 >][.zip 文件 ][ 文 件 ][-d< 目 录 >][-x< 文 件 >] 
HY: unzip [-Z] 

使 用 说 明 : unzip 为 .zip 压缩 文件 的 解压 缩 程序 。 











2 

n -c 将 解压 绚 的 结 来 显示 到 屏 融 上 ， 并 对 子 从 做 适当 的 转换 。 

so -f 更 新 现 有 的 文件 。 

a -l ERKELA E E KE. 

a op: 与 -c BARA, AVEHSHBIZU A A SSUBER D. BARRIT E. 

n t: 检查 压缩 文件 是 售 正 确 。 

a -u 与 -参数 类 似 ， 但 是 除了 更 新 现 有 的 文件 外 ， 也 会 将 压缩 文件 中 的 其 他 文件 解压 腑 





到 目录 中 。 

: 执行 是 时 显示 详细 的 信息 。 

: 仅 显 示 压 缩 文 件 的 备注 文字 。 

: 对 文本 文件 进行 必要 的 字符 转换 。 

: 不 要 对 文本 文件 进行 字符 转换 。 

: 压缩 文件 中 的 文件 名 称 区 分 大 小 与 。 

a -j 个 处 理 压缩 文件 中 原 有 的 目录 路 从 。 

a ”-L: 将 压缩 文件 中 的 全 部 文件 名 改 为 小 写 。 

a ”-M: 将 输出 结果 送 到 more 程序 处 理 。 

mn — -n: 解压 缩 时 不 要 上 复 闸 原 有 的 文件 。 

ma —-0: 不 必 先 询问 用 户 ，unzip AIT Ja t ni JEU LI. 
a — -P«Xh: 使 用 zip 的 密 但 选项 。 

a  -q: 执行 时 不 显示 任何 信息 。 

a o-s: 将 文件 名 中 的 空 日 字符 转换 为 下 划 线 字符 。 
» -V: 保留 VMS 的 文件 版 本 信息 。 

a -X: 解压 缩 时 则 时 间 存 文件 原来 的 UID/GID. 
a zip 文件 : 指定 .zip 压缩 文件 。 

a 文件 : 指定 要 处 理 .zip 压缩 文件 中 的 哪些 文件 。 
a  -d< 目 录 >: 指定 文件 解压 缩 后 所 要 存储 的 目 孙 。 
a -X-X p»: 指定 不 要 处 理 .zip 压缩 文件 中 的 哪些 文件 。 
= — -Z: unzip-Z 等 于 执行 zipinfo 指令 。 





E 
|I. 1 1 1 1 
A SDN < 












































功能 说 明 : 压缩 文件 。 
语法 : zip [-AcdDfFghjJKILmoqrSTuvVwXyz$][-b« L. fF H 3&»]EHl][-n«£ Fé 4; 82][-€ H 8H 
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EE TRIS ]E- Hs M 9 TH A SC TF JDSCTT...] Ht AS FE J [x e AFER] 
使 用 说 明 : zip 是 个 使 用 广泛 的 压缩 程序 ， 文 件 经 它 压缩 后 会 另外 产生 具有 “.zip” 扩 展 名 的 
压缩 文件 。 
2 
a O-A: 调整 可 执行 的 自动 解压 缩 文 件 。 
a ”-b< 工 作 目 录 >: 指定 暂时 存放 文件 的 目录 。 
a ” -Cc: 蔡 每 个 被 压缩 的 文件 加 上 注释 。 
» — -d: 从 压 纵 文 件 内 删除 指定 的 文件 。 
a -D: 压缩 文件 内 不 建立 目录 名 称 。 
a -fe 此 参数 的 效果 和 指定 “-u” 参 数 类 似 ， 但 不 仅 更 新 既 有 文件 ， 如 果 某 些 文件 原本 不 
存在 于 压缩 文件 内 ， 使 用 本 参数 会 一 并 将 其 加 入 压缩 文件 中 。 
a -F 演 试 修复 已 损坏 的 压缩 文件 。 
a -g 将 文件 压缩 后 附加 在 既 有 的 压缩 文件 之 后 ， 而 非 另 行 建 立新 的 压缩 文件 。 
a -h: 在 线 帮助 。 
«dA: 只 压缩 符合 条 件 的 文件 。 
a -j 只 保存 文件 名 称 及 其 内 容 ， 而 不 存放 任何 目录 名 称 。 
a —-J: 删除 压缩 文件 前 面 不 必要 的 数据 。 
a  -K: 使 用 MS-DOS 兼容 格式 的 文件 名 称 。 
a -k 压缩 文件 时 ， 把 LF 字符 置换 成 LF+CR 字符 。 
sa  -]1: 压缩 文件 时 ， 把 LF+CR 字符 置换 成 LF 字符 。 
a -L: 显示 版 权 信息 。 
a -m: 将 文件 压缩 并 加 入 压缩 文件 后 ， 删 除 原 始 文件 ， 即 把 文件 移 到 压缩 文件 中 。 
a  -n< 学 尾 字 符 串 >: 不 压缩 具有 特定 学 尾 学 符 串 的 文件 。 
sa — -0: 以 压缩 文件 内 拥有 最 新 更 改 时 间 的 文件 为 准 , 将 压缩 文件 的 更 改 时 间 设 成 和 该 文件 相同 。 
ma -qd: 不 显示 指令 的 执行 过 程 。 
a o r: 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 和 子 目 录 一 并 处 理 。 
a  -S: 包含 系统 和 隐藏 文件 。 
a ”-t< 日 期 时 间 >: 把 压缩 文件 的 日 期 设 成 指定 的 日 期 。 
a T: 检查 备份 文件 内 的 每 个 文件 是 否 正确 无 误 。 
a -u 更 换 较 新 的 文件 到 压缩 文件 内 。 
a ”-V: 显示 指令 的 执行 过 程 或 显示 版 本 信息 。 
mn  -V: 保存 VMS 操作 系统 的 文件 属性 。 
a — -W: 在 文件 名 称 里 加 入 上 厂 本 编号 ， 本 参数 仅 在 VMS 操作 系统 下 有 效 。 
a -X< 范 本 样式 >:， 压缩 时 排除 符合 条 件 的 文件 。 
sa -X: 不 保存 额外 的 文件 属性 。 
a ”-y: 直接 保存 符号 连接 ， 而 非 该 连接 所 指 问 的 文件 ， 本 参数 仅 在 UNIX 之 类 的 系统 下 有 效 。 
a -z 符 压 缩 文件 加 上 注释 。 
mn  -$: 保存 第 一 个 被 压缩 文件 所 在 磁盘 的 卷 册 名 称 。 
mn -JK R>: 压缩 效率 是 一 个 介 于 1 一 9 的 数值 。 
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Zipinfo 
功能 说 明 : 列 出 压缩 文件 信息 。 
语法 : zipinfo [-12hlmMstTvz][ 压 缩 文件 ][ 文 件 ...][-x< 范 本 样式 >] 
使 用 说 明 : 执行 zipinfo 指令 可 得 知 zip 压缩 文件 的 详细 信息 。 
参数 : 
m -1: 只 列 出 文件 名 称 。 
a -2: 此 参数 的 效果 和 指定 -1 参数 类 似 ， 但 可 搭配 -h、-t 和 -z 参数 使 用 。 
a h: 只 列 出 压缩 文件 的 文件 名 称 。 
s。 -1 此 参数 的 效果 和 指定 -m 参数 类 似 , 但 会 列 出 原始 文件 的 大 小 而 非 每 个 文件 的 压缩 率 。 
a m: 此 参数 的 效果 和 指定 -s 参数 类 似 ， 但 多 会 列 出 每 个 文件 的 压缩 率 。 
a -M: 若 信 息 内 容 超 过 一 个 画面 ， 则 采用 类 似 more 指令 的 方式 列 出 信息 。 
mn ” -Ss: 用 类 似 执行 “ls-1” 指 令 的 效果 列 出 压缩 文件 内 容 。 
a ot: 只 列 出 压缩 文件 内 所 包含 的 文件 数目 、 压 缩 前 后 的 文件 大 小 及 压缩 率 。 
a T: 将 压缩 文件 内 每 个 文件 的 日 期 时 间 用 年 、 月 、 日 、 时 、 分 、 秒 的 顺序 列 出 。 
a ” -Vv:; 详细 显示 压缩 文件 内 每 一 个 文件 的 信息 。 
a ”-x< 光 本 样式 >: 不 列 出 符合 条 件 的 文件 的 信息 。 
a -z 如 果 压 缩 文件 内 含有 注释 ， 束 将 注释 显示 出 来 。 


E TM 网 络 命令 


arpwatch 

功能 说 明 : 监听 网 络 上 ARP 的 记录 。 

语法 : arpwatch [-d][- 任 记录 文件 >][-i 接 口 >][-r< 记 录 文 件 >] 

使 用 说 明 : ARP (Address Resolution Protocol) 是 用 来 解析 IP 与 网 络 装置 便 件 地 址 的 协议 。 
arpwatch 可 监听 区 域 网 络 中 的 ARP 数据 包 并 记录 ， 同 时 将 监听 到 的 变化 通过 E-mail 来 报告 。 

参数 : 

a ”-d: 启动 排 错 模式 。 

a -人 < 记录 文件 >: 设置 存储 ARP 记录 的 文件 ， 预 设 为 /Var/arpwatch/arp.dat。 

a -ji< 接 口 >， 指定 监听 ARP 的 接口 ， 预 设 的 接口 为 eth0。 

a EKU: 从 指定 的 文件 中 读 取 ARP 记录 ， 而 不 是 从 网 络 上 监听 。 




















cu 

功能 说 明 : 连接 另 一 个 系统 主机 。 

语法 : cu [dehnotv][-a< 通 信 端 口 >][-c< 电 话 号 码 >][-E< 脱 离 字 符 >][-I< 设 置 文件 >][-1< 外 围 设 备 
代号 >][-s< 连 线 速率 >][-x< 排 错 模 式 >][-z< 系 统 主 机 >][--help][-nostop][--parity=none][< 系 统 主 
机 > 人 /< 电话 号 码 >] 

使 用 说 明 : 本 指令 可 连接 另 一 人 台 主 机 ， 并 采用 类 似 拨号 终端 机 的 接口 工作 ， 也 可 执行 和 测 易 的 
文件 传输 作业 。 


附录 A 
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ma — -a-il rim L1 B-p«ill fiim L1» 2k--portX3l (ism O>: 使 用 指定 的 通信 端口 进行 连 线 。 

a  -c«Hiih 5 fd-m--phonectih 43»: 拨打 广电 话 号 但 。 

» d: 进入 排 错 模式 。 

a -e 或 --parity=even: 使 用 双 同 位 检查 。 

a -EE< 脱 离 学 从 > 或 --escape< 脱 离子 符 >: 设置 脱离 字符 。 

a ”-h 或 --halfduple: 使 用 半 双 工 模式 。 

a ” -I< 设置 文件 > 或 --config< 配 置 文 件 >: 指定 要 使 用 的 配置 文件 。 

ms -|< 外 围 设 备 代 号 > 或 --line< 外 围 设 备 代 号 >: 指定 某 项 外 围 设备 ， 并 作为 连接 的 设备 。 

a -0 或 --prompt: 拨号 时 等 竺 用 户 和 输入 电话 号 人 码 。 

= -0 或 --parity=odd: 使 用 单 同 位 检查 。 

mn ”-S< 连 线 速 深 > 或 --speed< 连 线 速率 > 或 --baud< 连 线 速 率 > 或 -< 连 线 速率 >: 设置 连 线 的 速 
率 ， 单 位 以 波 特 率 计算 。 

mn  -tHX--maper: 把 CR 字符 置换 成 LEF+CR 字符 。 

a  -VEX--version: 显示 版 本 信息 。 

a ”-x< 排 错 模 式 > 或 --debug< 排 错 模式 >: 使 用 排 错 模 式 。 

mn ”-Z< 系 统 主机 > 或 --system< 系 统 主 机 >: 连接 该 系统 主机 。 

= ”--help: 在 线 帮助 。 

mn ”--nostop: 关闭 Xon/Xoff 软件 流量 控制 。 

» ”--parity=none: 不 使 用 同位 检查 。 











dnsconf 


功能 说 明 : 设置 DNS RERA. 

W 法 : dnsconf [--deldomain< 域 >][--delsecondary< 5X >][--newdomain< 3X >][--set< X 
机 ><IP>][--setcname<CNAME>< 主 机 >][--setmx< 域 >< 主 机 >][--setns< 域 >< 主 机 >][--unset< 主 机 >] 

使 用 说 明 : dnsconf 实际 上 为 linuxconf 的 符号 连接 ， 提 供 图 形 界 堆 面 的 操作 方式 ， 供 管理 员 
管理 DNS 服务 器 。 

参数 : 

= ”--deldomain< 域 >: 删除 域 。 

= ”--delsecondary< 域 >: 删除 次 级 域 。 

s ”--newdomain< 域 >: 新 增 域 。 

a ”--Set< 主 机 ><IP>: 新 增 主机 记录 。 

= ”--sSetcname<CNAME>< 主 机 >: 设置 “CNAME”。 

a ”--Setmx< 域 >< 主 机 >: 指定 域 的 邮件 主机 。 

a ”--Setns< 域 >< 主 机 >: 指定 域 的 DNS 服务 器 。 

a ”--unset< 主 机 >: 删除 DNS 中 某 台 主机 的 记录 。 








getty 
功能 说 明 : 设置 终端 机 模式 、 连 线 速 率 和 管制 线路 。 
语法 : getty [-h][-d< 组 态 配置 文件 >][-r< 延 迟 秒 数 >][- 八 超时 秒 数 >][-w< 等 竺 字符 串 >][ 终 端 机 
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编号 ][ 连 线 速率 < 终 新 机 类 型 >< 管 制 线路 >] 
Sí: getty [-c< 定 义 配置 文件 >] 
使 用 说 明 : getty 指令 是 UNIX 之 类 操作 系统 司 动 时 所 必需 的 3 个 步骤 之 一 。 
参数 : 
a -Cc< 定 义 配 置 文件 >: 指定 定义 配置 文件 ， 预 设 为 /etc/gettydefs。 
a  -d< 组 态 配置 文件 >: 指定 组 态 配 置 文件 ， 预 设 为 /etc/conf ,getty。 
sn h: 当 传输 速率 为 0 时 残 强 制 断 线 。 
a — ABRE ED: 设置 延迟 时 间 。 
a — -t< 超 时 秒 数 >: 设置 等 每 登录 的 时 间 。 
a -W< 等 每 字 从 串 >: 设置 等 每 回应 的 学 从 串 。 




















ifconfig 

功能 说 明 : 显示 或 设置 网 络 设备 。 

语法 : ifconfig [网 络 设备 ][down up-allmulti-arp-promisc][add< 地 址 >][del< 地 址 >][<hw< 网 络 设 
备 类 型 >< 便 件 地 址 >][io addr<LIO 地 址 >][irq<IRQ 地 址 >][media< 网 络 媒 介 类 型 >][mem start< 内 存 
地 址 >][metric< Zt H »][mtu« 4€ 5 >][netmask< T fj f& 15 -][tunnel« 地 址 >][-broadcast< 地 
址 >][-pointopoint< 地 址 >][ 卫 地 址 ] 

使 用 说 明 : ifconfig 可 设置 网 络 设备 的 状态 ， 或 是 显示 目前 的 设置 。 

参数 : 

» ”add< 地 址 >: 设置 网 络 设备 IPv6 的 IP 地 址 。 

a del< 地 址 >: 删除 网 络 设备 IPv6 的 IP 地 址 。 

a ”down: 关闭 指定 的 网 络 设备 。 

a ”<hw< 网 络 设 备 类 型 >< 价 件 地 址 >: 设置 网 络 设 备 的 类 型 与 便 件 地 址 。 

= io addr<ILIO 地 址 >: 设置 网 络 设备 的 IO 地 址 。 

a ”irq<IRQ 地 址 >: 设置 网 络 设备 的 IRQ。 

a ”media< 网 络 媒介 类 型 >: 设置 网 络 设备 的 媒介 类 型 。 

» mem start< 内 存 地 址 >: 设置 网 络 议 备 在 主 内 存 所 占用 的 起 始 地址 。 

a ”metric< 数 日 >: 指定 在 计算 数据 包 的 转送 次 数 时 ， 上 所 要 加 上 的 数目 。 

a  mtucr D»: 设置 网 络 设备 的 MTU。 

a  netmask< T M>: WERE YT n. 

a tunnel< 地 址 >: 建立 IPv4 5 IPv6 之 间 的 隧道 通信 地 址 。 

a ”-broadcast< 地 址 >: 将 要 送 往 指定 地 址 的 数据 包 当 成 广播 数据 包 来 处 理 。 

a -pointopoint< 地 址 >: 与 指定 地 址 的 网 络 设备 建立 直接 连 线 ， 此 模式 具有 保密 功能 。 

a  -promisc: 关闭 或 启动 指定 网 络 设 备 的 promiscuous 模式 。 

» JIP 地 址 : 指定 网 络 设备 的 IP 地 址 。 

















netconf 


功能 说 明 : 设置 各 项 网 络 功能 。 


语法 : netconf 


附录 A 
企业 级 Linux PREE MENNNNNNEEENI 


使 用 说 明 : netconf 是 Red Hat Linux 发 行 版 专门 用 来 调整 Linux 各 项 设置 的 程序 。 
netstat 


功能 说 明 : 显示 网 络 状 态 。 

语法 : netstat [-acCeFghilMnNoprstuvV wx][-A «Nj 2 25$ 703 —][--ip ] 

使 用 说 明 : 利用 netstat 指令 可 让 你 得 知 整个 Linux 系统 的 网 络 情况 。 

参数 : 

a -a 或 --all:; 显示 所 有 连 线 中 的 Socket. 

a -A< 网 络 类 型 > 或 --< 网 络 类 型 >， 列 出 该 网 络 类 型 连 线 中 的 相关 地 址 。 

a -c 或 --continuous: 持续 列 出 网 络 状态 。 

a -C 或 --cache: 显示 路 由 器 配置 的 块 区 信息 。 

= ”-e 或 --extend: 显示 网 络 其 他 相关 信息 。 

a -F 或 --fb: 显示 FIB。 

a -gg 或 --groups: 显示 多 重 广播 功能 和 群 组 组 员 名 单 。 

a ”-h 或--help: 在 线 帮 助 。 

mn  -iZk--interfaces: 显示 网 络 界 面 信息 表单 。 

a  -|X--listening: 显示 监控 中 的 服务 器 的 Socket. 

=  -M 或 --masquerade: 显示 伪装 的 网 络 连 线 。 

a  -nZk-numeric: 直接 使 用 IP 地 址 ， 而 不 通过 域名 服务 器 。 

a — -N 或 --netlink 或 --symbolic: 显示 网 络 价 件 外 围 设备 的 从 号 连接 名 称 。 

a -0 或 --timers: 显示 计时 其。 

= -p 或 -programs: 显示 正在 使 用 Socket 的 程序 识别 码 和 程序 名 称 。 

=  -T 或 --route: 显示 了 Routing Table. 

a — -S 或 --statistice: 显示 网 络 工作 信息 统计 表 。 

= -或 --tcrp: in TCP 传输 协议 的 连 线 状况 。 

=  -uZk-udp: 显示 UDP 传输 协议 的 连 线 状况 。 

a -v 或 --verbose: 显示 指令 的 执行 过 程 。 

a — -V 或 --version: 显示 版 本 信息 。 

a -w 或 --raw: 显示 RAW 传输 协议 的 连 线 状况 。 

a  -x X-unix: 此 参数 的 效 末 和 指定 “-A unix” 参 数 相同 。 

» — —ip 或 --inet: 此 参数 的 效果 和 指定 “-A inet” 人 参数 相同 。 
ping 

功能 说 明 : 检测 主机 。 

语法 : ping [-dfnqrRv][-c< 完 成 次 数 >][-i< 间 隔 秒 数 >][-I< 网 络 界面 >][-I< 前 置 载 入 >][-p< 范 本 样 
式 >][-s< 数 据 包 大 小 >][-t< 存 活 数 值 >][ 主 机 名 称 或 IP 地 址 ] 

使 用 说 明 : 执行 ping 指令 会 使 用 ICMP 传输 协议 ， 发 出 要 求 回 应 的 信息 ， 辱 远 端 主机 的 网 
络 功能 没有 问题 ， 则 会 回应 该 信息 ， 因 而 得 知 该 主机 运作 正常 。 

参数 : 

= — -d: 使 用 Socket 的 SO DEBUG 功能 。 
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-c< 完 成 次 数 >: 设置 完成 要 求 回 应 的 次 数 。 

-f: 极限 检测 。 

-i< 间 隔 秒 数 >: 指定 收发 信息 的 间隔 时 间 。 

-I< 网 络 界面 >: 使 用 指定 的 网 络 界面 送出 数据 包 。 
-<H ERANT: 设置 在 送出 要 求 信息 之 前 ， 先 行 发 出 的 数据 包 。 
-n: 只 输出 数值 。 

-p< 范 本 样式 >: 设置 填 满 数据 包 的 范本 样式 。 

-q: 不 显示 指令 执行 过 程 ， 开 头 和 结尾 的 相关 信息 除外 。 
-T: 忽略 普通 的 Routing Table， 直 接 将 数据 包 送 到 远 端 主机 上 。 
-R: 记录 路 由 过 程 。 

-S< 数 据 包 大 小 >: 设置 数据 包 的 大 小 。 
-t< 存 活 数 值 >: 设置 存活 数值 TTL 的 大 小 。 
-v: 详细 显示 指令 的 执行 过 程 。 
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网 LRR) 汇总 





HT 3k B 
网 络 工具 资源 汇总 D 


1. Openbsd PF: OpenBSD 数据 包 过 滤器 


nBSD 
像 其 他 平台 上 的 Netfilter 和 IP Filter 一 样 ，OpenBSD 用 户 最 爱 用 PF， 这 就 是 他 
们 的 防火 墙 工具 。 它 的 功能 有 网 络 地 址 转换 、 管 理 TCP/IP 通信 、 提 供 带 宽 控 制 和 数据 包 分 级 控 
制 。 它 还 有 一 些 额外 的 功能 , 例如 被 动 操作 系统 检测 。PF 是 由 编写 OpenBSD 的 同一 批 人 编写 的 ， 
所 以 你 完全 可 以 放心 使 用 , 它 已 经 经 过 了 很 好 的 评估 、 设 计 和 编码 以 避免 暴露 其 他 包 过 滤器 (other 
packet filters) 上 的 类 似 漏洞 。 











2. Arpwatch: ARP 中 间 人 攻击 检测 器 (Linux) 


we  Arpwatch 是 LBNL W 2& 8p 55 2H tH om Hy — zx 28 9t ARP 中 间 人 
Cman-in-the-middle) Jütf342&. CEWKA ERAH, JPRCRPXERT] AE M E-mail 报 
告 给 管理 员 。Arpwatch 使 用 LibPcap 来 监听 本 地 以 太 网 接口 ARP. 数据 包 。 





3. OSSEC HIDS: 开源 的 基于 主机 的 入 侵 检 测 系统 


& OSSEC 





OSSEC HIDS I] 3: SIRE Hoods 2) Ur. ERA Rootkit 检测 、 基 于 时 间 的 
JR SERT HE SER. RI RAAR AMRES E —ÀxxC4«H tk SEM/ (Security Event 
Management, ZEF EH) , SIM/ (Security Information Management, EA AE E) 解决 方 
案 中 。 因 其 强大 的 日 志 分 析 引 警 ，ISP nternet Service Provider， 网 络 服务 提供 商 ) 、 大 学 和 数 
据 中 心 用 其 监控 和 分 析 他 们 的 防火 墙 、 入 侵 检 测 系 统 、 网 页 服务 和 验证 等 产生 的 日 志 。 











$ 


4. GnuPG/PGP : 对 您 的 文件 和 通信 进行 高 级 加 密 


E 











PGP © Phil Zimmerman 出 品 的 著名 加 密 程 序 ， 可 以 使 您 的 数据 免 受 独 听 以 及 其 
他 危险 。GnuPG 是 一 于 口碑 很 好 的 仁 守 PGP 标准 的 开源 应 用 《可 执行 程序 名 为 gpg) 。GunPG 
是 免费 的 ， 而 PGP 对 茶 些 用 户 是 收费 的 。 








5. Retina: eEye 出 品 的 商业 漏洞 评估 扫描 器 





E 像 Nessus — f£, Retina 的 功能 是 扫描 网 络 中 所 有 的 主机 并 报告 发 现 的 所 有 漏洞 ， 
由 eEye 出 品 ， 此 公司 以 其 security research 而 闻名 。 
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6. Sysinternals: 一 款 非常 全 面 的 Windows 工具 集合 





pai 

A | Sysinternals 为 Windows 低级 入 侵 提 供 很 多 非常 有 用 的 小 工具 。 其 中 一 部 分 是 锡 
费 的 ， 有 些 还 附 有 源 代 码 ， 其 他 是 需要 付费 使 用 的 。 受 访 者 最 喜欢 此 集合 中 的 工具 ， 如 : 
ProcessExplorer 监视 所 有 进程 打开 的 所 有 文件 和 目录 (类 似 UNIX 上 的 LSoF) ，PsTools 管理 
GIT HE, JW, EA) 本 地 和 远程 进程 ，Autoruns 发 现 系 统 局 动 和 登录 时 加 载 了 哪些 可 执 
行程 序 ，RootkitRevealer 检测 注册 表 和 文件 系统 API 异常 ， 以 及 用 于 发 现 用 户 模 式 或 内 核 模 式 的 
Rootkit 工具 。 














7. GFI Languard: Windows 平台 上 的 商业 网 络 安全 扫描 器 





GFI 公司 的 Languard 扫描 IP 网 络 ， 以 检测 哪些 机 器 正在 运行 的 程序 。 如 收集 
Windows 机 器 的 Service Pack 级 别 、 错 失 的 安全 补丁 、 无 线 接 入 点 、USB 设备 、 开 放 式 股票 、 
放 口 尾 、 活 路 于 电脑 中 的 服务 /应 用 关键 注册 表 项 、 弱 密码 、 用 户 和 用 户 组 ， 以 及 更 多 。 扫 摘 结 
果 保 存 为 一 个 HTML 报告 ， 其 中 可 以 定制 /质疑 。 它 也 包括 一 个 补丁 管理 右 ， 可 侦 测 并 安装 失踪 
补丁 。 人 免费 试用 版 本 可 用 ,但 只 有 30 RZA. 














8. Netfilter: 最 新 的 Linux 核心 数据 包 过 滤器 防火 墙 


- Netfilter 是 最 新 的 2.4.x 版 本 Linux. 内 核 集成 的 了 P fei GIL US AS. WMR Linux 
系统 连接 到 互联 网 或 LAN、 服 务 器 或 连接 LAN 和 互联 网 的 代理 服务 器 , 则 该 系统 有 利于 在 Linux 
系统 上 更 好 地 控制 IP 信息 包 过 滤 和 和 防火墙 配置 。Mugdha Vairagade 将 介绍 Netfilter/Iptables 系 
统 ， 筷 是 如 何 工 作 的 ， 它 的 优点 、 安 朔 和 配置 ， 以 及 如 何 使 用 它 来 配置 Linux 系统 上 的 防火 场 以 
过 小 IP 信息 包 。 














9. Ettercap: 为 交换 式 局 域 网 提供 更 多 保护 


"EITERLAP: 
Ettercap 是 一 于 基于 终 痢 的 以 太 网 局 域 网 咒 探 右 / 拦 礁 融 /日 忘 带 。 它 文 持 主动 和 
被 动 的 多 种 协议 解 林 《〈《 甚 全 是 ssh 和 https 加 密 过 的 ) ， 还 可 以 进行 已 建立 连接 的 数据 注入 和 实 
时 过 滤 ， 保 持 连 接 同步 。 大 部 分 噢 探 模式 都 是 强大 且 全 面 的 别 探 组合， 文 持 插 件 ， 能 够 识别 您 是 
侣 处 在 交换 却 局 域 风 中， 通过 使 用 操作 系统 指纹 《主动 或 被 动 ) 技术 可 以 得 到 局 域 网 结构 。 
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10. Snort: 一 款 广 受 欢迎 的 开源 IDS (入 侵 检 测 系 统 ) 工具 


N^ 

这 短小 型 的 入 侵 检 测 和 预防 系统 擅长 于 通信 分 机 和 IP 数据 包 登 录 (packet 
logging) 。Snort 除了 能 够 进行 协议 分 析 、 内 容 搜索 和 包含 其 他 许多 预 处 理 程序 ， 还 可 以 检测 上 
Rp HERE. Awi Xm L1d448 DA x Heft n] SET A. Snort 使 用 一 种 简单 的 基于 规则 的 语言 来 拉 
述 网 络 通信 ， 以 及 判断 对 于 网 络 数据 是 放行 还 是 拦截 ， 其 检测 引擎 是 模块 化 的 。 用 于 分 析 Snort 
警报 的 网 页 形式 的 引擎 Basic Analysis and Security Engine (BASE) 可 免费 获得 。 开 源 的 Snort 为 
个 人 、 小 企业 、 集 团 用 户 提 供 民 好 的 服务 。 其 母 公 司 SourceFire 提供 丰富 的 企业 级 特性 和 定期 升 
级 ， 以 丰 量 其 产品 线 ， 提 供 〈 必 须 注 册 )〉5 天 免费 的 规则 试用 。 您 也 可 以 在 Blee** Edge Snort 找 
到 很 多 免费 规则 ， 图 点 击 下 载 。 























11. X-scan: 一 款 网 络 漏洞 扫 摘 器 





2 汪 X-Scan 是 一 于 多 线程 、 文 持 插 件 的 汤 洞 扫描 右 ， 主 要 功能 包括 全 和 耐 文 持 NASL 
(Nessus Attack Scripting Language, Nessus 攻击 脚本 语言 ) 、 检 测 服 务 类 型 、 远 程 操作 系统 类 型 
(版 本 ) 检测 、 弱 用 户 名 /密码 匹配 等 ， 国 点 击 下 载 。 





12. Spike Proxy: HTTP 攻击 检测 


IMMUNITY di 
Spike Proxy Æ —3XJT J8 BR] EJ BL Pd v ddl 2g H HJ] HTTP. 代理 。 它 是 Spike 
Application Testing Suite 的 一 部 分 ,功能 包括 目 动 SQL 注入 检测 、 网 站 压 行 (Web site crawling? 、 
OKIRIKE a ERMA H KYE RII 





13. Yersinia: 支持 多 协议 的 底层 攻击 检测 工具 











Yersinia 是 一 束 捕 层 协 议 攻击 入 侵 检 测 工 具 ， 它 能 实施 针对 多 种 协议 的 多 种 攻 
击 ， 例 如 夺取 生成 树 的 根 角 色 〈 生 成 树 协 议 ，Spanning Tree Protocol) 、 生 成 虚拟 CDP (Cisco 
Discovery Protocol, Cisco 发 现 协议 ) 邻居 、 在 一 个 HSRP (Hot Standby Router Protocol, 2ASEf 
路 由 协议 ) 环境 中 虚拟 成 一 个 活动 的 路 由 上 费 、 制 造假 DHCP 反 饿 ， 以 及 其 他 底层 的 攻击 。 
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14. chkrootkit: 本 地 Rootkit 检测 器 





chkrootkit zi — 3X7) 25 Zj HH UNIX/Linux 平台 上 的 可 以 检测 多 种 Rootkit 入 侵 的 
工具 。 它 的 功能 包括 检测 文件 修改 、utmp/wtmp/last 日 志 修 改 、 界 和 面 欺 骗 (promiscuous interfaces? 、 


恶意 核心 模块 (malicious kernel modules? 。 


15. rkhunter: 一 款 UNIX 平台 上 的 Rootkit 检测 器 
RC otkit rkhunter 是 Linux. 下 的 一 慰 开 源 入 侵 检 测 工 具 。rkhunter 具有 比 chrootkit 更 为 全 面 


的 扫描 范围 。 除 Rootkit 特征 码 扫 描 外 ，rkhunter 还 文 持 端口 扫描 、 和 常用 开源 软件 版 本 和 文件 变动 
IE DUET TIAS. 





16. Angry IP Scanner: Windows IP 扫描 器 和 端口 扫描 器 





C3 Angry IP Scanner 是 一 个 相当 小 的 IP 扫描 软件 , n] EAE Soc ENSE TR] V] TT f o9 E 
机 IP 的 运作 状况 ， 并 且 快 速 地 将 结束 整理 完 汇 报 给 您 知晓 。Angry IP Scanner 可 以 扫 摘 的 项 目 很 
多 ， 包 括 远 站 主机 的 名 称 、 目 前 开局 的 通联 埋 以 及 IP 的 运作 状况 等 ， 让 您 可 以 完全 和 营 握 对 方 主 
机 的 运作 状况 ， 对 于 网 管 人 员 来 说 ， 实 在 是 个 不 可 多 得 的 好 帮手 。 














17. RainbowCrack: 极 具 创 新 性 的 密码 哈 希 破解 器 





Bac c TIE 


Er RainbowCrack 是 一 个 使 用 内 存 时 间 交 换 撤 术 C Time-Memory  Trade-Off 
Technique) 加 速 口令 破解 过 程 的 口令 破解 句 。RainbowCrack 使 用 了 彩虹 表 ， 也 惑 是 一 张 预先 计 
算 好 的 明文 和 各 列 值 的 对 照 表 。 通 过 预先 花费 时 间 创 建 这 样 的 彩虹 表 ， 能 够 在 以 后 破解 口令 时 节 
约 大 量 的 时 间 。 








18. Pwdump: 一 款 Windows 密码 破解 和 恢复 工具 





PL. Painoa 可 以 从 Windows 主机 中 取得 NTLM 和 LanMan MAE, ZGie AREE 
盏 司 用 ， 它 还 能 显示 系统 中 存在 的 历史 密码 。 数 据 输出 格式 为 LOphtecrack 兼容 格式 ， 也 可 以 以 
ee 出 数据 。 
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19. IDA Pro: Windows 或 Linux 反 编译 器 和 调试 器 


IDA'PRO £- 
[sl TT 
ga AND EE 


DA Pro Advanced 是 目前 最 棒 的 一 个 静态 反 编 译 软件 ， 是 破解 者 不 可 缺少 的 利 








al 已 酷 的 反 纺 译 软件 ， 破 解 高 手 们 几乎 都 喜欢 用 这 个 软件 。 


20. Xprobe2: 主动 操作 系统 指纹 工具 








probe 是 一 款 远程 主机 操作 系统 探查 工具 。 开 发 者 是 基于 和 Nmap 相同 的 一 些 
技术 并 加 入 了 自己 的 创新 研制 而 成 的 。Xprobe 通过 ICMP 协议 来 获得 指纹 。 








SPI Dynamics”WebInspect 应 用 程序 安全 评估 工具 ,， 帮 你 识别 已 知 和 未 知 的 网 页 
层 漏洞 。 它 还 能 检测 Web 服务 疾 的 配置 属性 ， 以 及 进行 香 见 的 网 页 攻击 ， 例 如 参数 注入 、 踊 网 
HR, HRE. 











22. Burp Suite: Web 应 用 程序 攻击 集成 平台 


target | proxy | spider 


insercepl options | h 


B requestio hips Ebu Suite 是 一 个 Web 应 用 程序 集成 攻击 平台 ， 它 包含 了 一 系列 Burp 工具 ， 这 
些 工 具 之 间 有 大 量 接口 可 以 互相 通信 ,之 所 以 这 样 设计 是 为 了 促进 和 提高 整个 攻击 的 效率 。 平 台 
中 所 有 工具 共享 同一 robust 框架 ， 以 便 统 一 处 理 HTTP 请 求 、 持 久 性 、 认 证 、 上 游 代 理 、 日 志 记 
录 、 报 警 和 可 扩展 性 。Burp Suite 允许 攻击 者 结合 手工 和 上 自动 技术 去 枚 举 、 分 析 、 攻 击 Web 应 用 
程序 。 这 些 不 同 的 Burp 工具 通过 协同 工作 ， 有 效 地 分 享 信息 ， 文 持 以 某 种 工具 的 信息 为 基础 供 
另 一 种 工具 使 用 的 方式 发 起 攻击 。 


























23. NBTscan: 在 Windows 网 络 上 收集 NetBIOS 信息 


呈 是 一 款 在 IP 网 络 上 扫描 NetBIOS 名 称 信 息 的 工具 。 它 通过 给 指定 范围 
内 所 有 地 址 发 送 状 态 查 询 来 获得 反馈 信息 并 以 表 的 形式 呈现 给 使 用 者 。 每 一 地 址 的 反馈 信息 包括 
IP 地 址 、NetBIOS 计算 机 名 、 登 录用 户 、MAC 地 址 。 
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24. POf. 新 的 远程 OS 指纹 被 动 判别 工具 


Fr. 
wow 全 
m 





POF 能 够 通过 捕获 并 分 析 目 标 主机 发 出 的 数据 包 来 对 主机 上 的 操作 系统 进行 鉴别 ， 
即使 是 在 系统 上 疙 有 性 能 民 好 的 防火 墙 的 情况 下 也 没有 问题 。PO0f 不 增加 任何 直接 或 间接 的 网 络 
负载 ， 没 有 名 称 搜索 、 没 有 秘密 探测 、 没 有 ARIN 查询 ， 什 么 都 没有 。 某 些 高 手 还 可 以 用 POf 检 
训 出 主机 上 有 是 售 有 防火 场 存 在 、 是 含有 NAT、 是 个 存在 负载 平衡 希 ， 等 等 。 























25. AirSnort: 802.11 WEP 加 密 破解 工具 





AirSnort 是 一 球 用 来 恢复 加 密 密 人 码 的 无 线 LAN (WLAN) CH, H Shmoo Group 
出 品 。 其 工作 原理 是 被 动 监控 传输 信息 ， 当 收集 到 足够 多 的 数据 包 后 开始 计算 加 密 密 人 码 。 











26. LOphtCrack: Windows 密码 猜测 和 恢复 程序 


r 

= 一 一 一 LOphtCrack 也 叫做 LC5， 用 来 尝试 通过 哈 希 〈 通 过 某 种 访问 方式 获得 的 ) 方法 破 
解 诸 如 Windows NT/2000 工作 站 、 联 网 服务 器 、 主 域 控 制 器 ， 或 活动 目录 密码 ， 有 时 它 也 可 以 
通过 咒 探 获得 密码 的 哈欠 值 。 它 还 可 以 通过 多 种 手段 来 猜测 密码 Cr SL. 2S7) MESE) 。Symantec 
公司 2006 年 已 经 停止 了 LC5 的 开发 ， 但 LCS installer 的 安装 文件 随处 可 以 找到 。 和 免费 试 用 版 只 
能 使 用 15 X, Symantec 已 经 停止 出 售 此 软件 的 注册 人 码 ， 所 以 如 果 您 不 想 放弃 使 用 它 ， 束 必须 找 
到 一 个 与 其 对 应 的 注册 人 码 生 成 旧 (key generator?) 。 因 为 Symantec 不 再 维护 此 软件 ， 所 以 最 好 和 洋 
试用 Cain and Abel 或 John the Ripper KREZ- 














27. Aircrack: 最 快 的 WEP/WPA 破解 工具 











@ 是 一 套用 于 破解 SWEP 和 WPA 的 工具 套装 ,一般 用 于 无 线 网 络 的 密 钥 破 
解 ， 从 而 非法 进入 未 经 许可 的 无 线 网 络 。 只 要 一 旦 收集 到 足够 的 加 密 数 据 包 ， 利 用 它 束 可 以 人 破解 
40—512 位 的 WEP 密 古 ， 也 可 以 通过 高 级 加 密 方法 或 暴力 破解 来 破解 WPAT 或 WPA2 网 络 。 














28. SuperScan: 只 运行 于 Windows 平台 之 上 的 端口 扫描 器 


— 
一 


EC 
SuperScan 是 一 蒜 Foundstone 公司 开发 的 免费 的 只 运行 于 Windows 平台 之 上 的 
不 开源 的 TCP/UDP 关口 扫 摘 右 ， 其 中 还 包 舍 许多 其 他 网 络 工 具 ， 例 如 ping, AERE http head 
和 whois. 
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29. NetStumbler: 免费 的 Windows 802.11 IZgz$ 

NeiStumbler 0,4.0 

— 34 NetStumbler 是 三 为 人 知 的 寻找 开放 无 线 访问 接 入 点 的 Windows 工具 
Cwardriving) 。 其 PDA 上 的 Win CE 系统 版 本 名 叫 Ministumbler。 此 软件 当前 免费 ， 但 只 能 够 运行 
在 Windows 平台 上 ， 且 代码 不 公开 。 它 使 用 很 多 主动 方法 寻找 WAP, 而 KisMET 或 KisMAC 则 更 
多 地 使 用 被 动 咒 探 。 





30. Dsniff: 一 款 超 强 的 网 络 评估 和 渗透 检测 工具 套装 





由 Dug Song 精心 设计 并 厂 受 欢迎 的 这 球 套 涛 包含 很 多 工具 ，Dsniff、filesnarf、 
mailsnarf、msgsnarf、urlsnarf 和 webspy 通过 被 动 监视 网 络 以 获得 敏感 数据 (例如 密码 、 邮 件 地 
址 、 文 件 等 ) 。Arpspoof、dnsspoof 和 macof 能 够 拦 稚 一 般 很 难 获取 到 的 网 络 通 信人 信息 〈 例 如 由 
于 使 用 了 第 二 层 转换 (layer-2 switching) ) 。Sshmitm 和 webmitm 通过 ad-hoc PKI 中 弱 绑 定 漏洞 
对 ssh 和 https 会 话 进行 重 定向 ， 实 施 动态 monkey-in-the-middle (利用 中 间 人 攻击 技术 ， 对 会 话 
进行 动 持 ) 攻击 。Windows 版 本 可 以 在 这 里 获取 。 总 之 ， 这 是 一 个 非常 有 用 的 工具 集 ， 它 能 完成 
几乎 所 有 和 密码 咒 探 需要 做 的 工作 。 














31. THC Hydra: 支持 多 种 服务 的 最 快 的 网 络 认 证 破解 器 











如 果 您 需要 暴力 破解 一 个 远程 认证 服务 ，Hydra 经 常会 是 选择 对 象 。 它 可 以 同时 
对 30 个 以 上 的 端口 进行 基于 字典 的 快速 破解 ， 包 括 Telnet、FTP、HTTP、HTTPS、SMP、 多 种 
数据 库 及 其 他 服务 。 和 THC Amap 一 样 ， 此 Hydra 版 本 来 自 于 民间 组 织 THC。 





32. Paros proxy: 网 页 程序 漏洞 评估 代理 
A 
ore , 
PAJOS Paros proxy 是 基于 Java 的 网 页 程序 漏洞 评估 代理 ， 支 持 实 时 编辑 和 浏览 


HTTP/HTTPS 信息 , 例如 修改 Cookie 和 表 字 段 中 的 内 容 。 它 包含 网 页 通信 记录 需 、 网 页 小 偷 C(Web 
spider) 、 哈 希 计 算 器 和 一 个 常用 网 页 程序 攻击 扫描 器 ， 如 SQL 注入 和 路 网 站 脚本 等 。 

















33. John the Ripper: 一 款 强 大 简单 的 文 持 多 平台 的 密码 破解 器 


2 


John the Ripper 是 一 蒜 最 快 的 密码 破解 磊 ， 当 前 文 持 多 种 主流 UNIX 〈 官 方 文 持 
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11 种 ， 没 有 计算 不 同 的 架构 ) 、DOS、Windows 32. BeO 和 OpenVMS。 它 的 主要 功能 就 是 检测 
弱 UNIX 密码 。 它 文 持 主流 UNIX 下 的 多 种 (3 种 ) 哈 希 加 密 类 型 ， 它 们 是 Kerberos, AFS 以 及 
Windows NT/2000/XP LM。 其 他 哈 希 类 型 可 以 通过 补丁 包 加 载 。 如 果 您 希望 从 一 些 单词 表 开 始 的 
话 ， 您 可 以 在 这 里 找到 。 





34. Cain & Abel: Windows 平台 上 最 好 的 密码 恢复 工具 





pg aee] UNIX 用 户 经 常 声称 正 因为 UNIX 平台 下 有 很 多 非常 好 的 免费 安全 工具 ， 所 以 
UNIX 才 会 成 为 最 好 的 平台 ， 而 Windows 平台 一 般 不 在 他 们 的 考虑 范围 之 内 。 他 们 也 许 是 对 的 ， 
但 Cain & Abel 确实 让 人 眼前 一 亮 . 这 种 只 运行 于 Windows 平台 的 密码 恢复 工具 可 以 做 很 多 事情 。 
它 可 以 通过 咒 探 网 络 来 找到 密码 、 利 用 学 典 破 解 加 密 密 人 码 、 暴 力 人 破解 密码 和 密码 分 析 、 记 录 VoIP 
会 话 、 解 码 非 常 复 杂 的 密码 、 星 号 查看 、 剥 离 缓存 密 人 码 以 及 分 析 路 由 协议 。 另 外 ， 其 文档 也 很 齐 
全 (well documented) 。 




















35. Nessus: 最 好 的 UNIX 漏洞 扫描 工具 











Nessus 是 最 好 的 免费 网 络 漏洞 扫描 右 ， 它 可 以 运行 于 几乎 所 有 的 UNIX 平台 之 
上 。 它 不 仅 可 以 永久 升级 ， 还 免费 提供 多 达 11 000 种 插件 (但 需要 注册 并 接受 
EULA-acceptance Aim RAN) 。 它 的 主要 功能 是 远程 或 本 地 (已 授权 的 ) 安全 检查 ， 
客户 端 /服务 器 架构 ，GTK (Linux 下 的 一 种 网 形 界 面 ) 图 形 界面 ， 内 置 脚 本 语言 编译 器 ， 可 以 用 
其 编写 目 定 义 插 件 ， 或 用 来 阅读 别人 与 的 插件 。Nessus 3 已经 开发 完成 (now closed source? ， 
其 现 阶 段 仍然 免 引 ， 而 您 想 获 得 最 狐 的 插件 就 要 收费 。 




















36. Wireshark: 网 络 嗅 探 工具 





ireshark (2006 年 夏天 之 前 叫做 Ethereal) z& —zXxE?5 ESI] UNIX 和 Windows 
上 开源 网 络 协议 分 析 器 。 它 可 以 实时 检测 网 络 通信 数据 ， 也 可 以 检测 其 抓 取 的 网 络 通信 数据 快照 
文件 。 通 过 图 形 界 面 浏 览 这 些 数 据 ， 答 看 网 络 通 信 数 据 包 中 每 一 层 的话 细 内 容 。Wireshark 拥有 
许多 强大 的 特性 : 包含 有 强 显 示 过 小 器 语言 (rich display filter language? 和 查看 TCP 会 话 重 构 流 
的 能 力 ; 文 持 上 百 种 协议 和 媒体 类 型 ， 拥 有 一 个 类 似 tcpdump【 一 个 Linux 下 的 网 络 协议 分 析 工 
上 其 ) 的 名 为 ethereal 的 命令 行 版 本 。 不 得 不 说 一 多，Ethereal 已 经 饱 受 许多 可 远程 利用 的 漏洞 折 
磨 ， 所 以 要 经 常 对 其 进行 升级 ,并 在 不 安全 网 络 或 敌 方 网 络 (例如 安全 会 议 的 网 络 ) PEE H o 
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37. Netcat: 网 络 瑞士 军刀 







ER > 个 f 兰 的 小 工具 可 以 读 / 写 经 过 TCP 或 UDP 网 络 连 接 的 数据 。 它 被 设计 成 一 
个 可 菲 的 可 以 被 其 他 程序 或 脚本 直接 和 人 简单 使 用 的 后 台 工 具 。 同时, 它 也 是 一 个 功能 多 样 的 网 络 
调试 和 检查 工具 ， 因 为 它 可 以 生成 几乎 所 有 您 想 要 的 网 络 连 接 ,， 包括 通过 并口 绑 定 来 接受 输入 连 
接 。Netcat 最 早 由 Hobbit 在 1995 年 发 布 ， 但 在 其 广 为 流 传 的 情况 下 并 没有 得 到 很 好 的 维护 。 现 
在 ncl10.tgz 已 经 很 难 找 了 。 这 个 简单 易 用 的 工具 使 很 多 人 写 出 了 很 多 其 他 的 Netcat 应 用 ， 有 很 
多 功能 都 是 原版 本 没有 的 ， 其 中 最 有 趣 的 是 Socat， 它 将 Netcat 扩展 成 可 以 支持 多 种 其 他 socket 
类 型 、SSL 加 密 、SOCKS 代理 ， 以 及 其 他 扩展 的 更 强大 的 工具 。 还 有 Chris Gibson? s Ncat， 能 
够 提供 更 多 对 便携 设备 的 文 持 。 其 他 基于 Netcat 的 工具 还 有 OpenBSD”s nc、Cryptcat、Netcat6， 
Pnetcat 和 SBD。Netcat 又 叫做 GNU Netcat。 




















38. Metasploit Framework: 黑 掉 整个 星球 








2004 年 Metasploit 的 发 布 在 安全 界 引 发 了 强烈 的 地 震 ， 超 过 了 很 多 三 为 流传 的 
诞生 了 几 十 年 的 老牌 工具 。 它 是 一 个 强大 的 开源 平台 ， 供 开发 、 测 斌 和 使 用 恶意 代码 。 这 种 可 扩 
展 的 模型 将 负载 控制 、 编 码 器 、 无 操作 生成 器 和 漏洞 整合 在 一 起 ， 使 得 Metasploit Framework 成 
为 一 种 研究 高 危 涯 洞 的 途径 。 它 日 融 上 百 种 漏洞 ， 还 可 以 在 online exploit buil** demo( 在 线 漏洞 
生成 演示 ) 看 到 如 何 生 成 漏洞 。 这 使 得 您 日 己 编写 漏洞 变 得 更 简单 ， 它 势必 将 提升 非法 Shellcode 
代码 的 水 平 ， 扩 大 网 络 阴暗 面 。 与 其 相似 的 专业 漏洞 工具 ,例如 Core Impact 和 Canvas 已 经 被 许 
多 专业 领域 用 户 使 用 。Metasploit 降低 了 这 种 能 力 的 门槛 ， 将 其 推广 给 大 众 。 


























39. Hping2: 一 种 网 络 探测 工具 ， 是 ping 的 超级 变种 


X 这 个 小 工具 可 以 发 送 自 定义 的 ICMP、UDP 和 TCP 数据 包 ， 并 接收 所 有 反馈 信 
息 。 它 的 灵感 来 源 于 ping 命令 ， 但 其 功能 远 远 超过 ping。 它 还 包含 一 个 小 型 的 路 由 跟踪 模块 ， 
并 支持 IP 分 段 。 此 工具 可 以 在 常用 工具 无 法 对 有 防火 墙 保护 的 主机 进行 路 由 跟踪 /ping/ 探 测 时 大 
显 身手 。 它 经 常 可 以 帮助 您 找 出 防火 墙 的 规则 集 ， 当 然 还 可 以 通过 它 来 学 习 TCP/IP 协议 ， 并 做 
一 些 IP 协议 的 实验 。 











40. Kismet: 一 款 超 强 的 无 线 嗅 探 器 


KISMET 





Kismet z& —3X3& FMA íT (ncurses) 的 802.11 layer2 EWI TAz. IRIRA 
和 入 侵 检 测 系 统 。 它 对 网 络 进 行 被 动 嗅 探 《相对 于 许多 主动 工具 ， 例 如 NetStumbler) ， 可 以 发 





现 隐 形 网 络 〈 非 信 标 ) 。 它 可 以 通过 嗅 探 TCP, UDP, ARP 和 DHCP 数据 包 来 自动 检测 网 络 卫 
Et, DJ Wireshark/TCPDump 羔 容 格式 记录 通信 有 日志， 更 加 可 以 将 被 检测 到 的 网 络 分 块 并 按照 下 
载 的 分 布 图 进行 沁 围 估计 。 如 您 所 想 ， 这 于 工具 一 般 被 wardriving PEH o IR! 还 有 warwalking、 
warflying 和 warskating*… 








41. Nagios: 一 款 开源 的 主机 、 服 务 和 网 络 监控 程序 


Nagios 


Enterprises 
Nagios 是 一 球 系 统 和 网 络 监控 程序 。 它 可 以 监视 您 指定 的 主机 和 服务 。 当 被 监 
TIGE e te 发 出 提示 信息 。 它 的 主要 功能 有 监控 网 络 服务 (SMTP, 
POP3、HTTP、NNTP、Ping 等 ) 、 监 控 主 机 资源 《进程 负载 、 硬 盘 空 间 使 用 情况 等 ) 、 当 发 现 
e e a CE-mail、 寻 呼 机 或 其 他 用 户 定 义 的 方式 ) 。 











42. Fport: Foundstone 出 品 的 加 强 版 netstat 


——— 
&b F-PROT |t 
T= 


d ven sarei 





z Fport 可 以 报告 所 有 本 地 机 上 打开 的 TCP/IP 和 UDP 端口 ， 并 显示 是 何 程序 打开 
的 应 口 。 所 以 用 它 可 以 快速 地 识别 出 未 知 的 开放 疹 口 以 及 与 其 相关 的 应 用 程序 。 它 只 有 Windows 
版 本 ， 但 现在 很 多 UNIX 系统 上 的 netstat 也 提供 同样 的 功能 (Linux 请 用 netstat -pan) 。SANS 
的 文章 有 Fport 的 使 用 说 明和 结 末 分 析 方 法 。 








43. Tor: 匿名 网 络 通信 系统 





Tor 是 一 球面 同 希 望 提 高 其 网 络 安 全 性 的 广大 组 织 和 大 众 的 工具 集 。Tor 有 匿名 


网 页 浏览 和 发 布 、 即 时 信息 、irc、ssh 以 及 其 他 一 些 TCP 协议 相关 的 功能 。Tor 还 为 软件 开发 者 
提供 一 个 可 开发 内 置 匿 名 性 、 安 全 性 和 其 他 私密 化 特性 的 软件 平台 。 在 Vidalia 可 以 获得 路 平台 
的 图 形 化 界面 。 








44. Firewalk: 高 级 路 由 跟踪 工具 (Linux) 


Firewalk 
Firewalk 使 用 类 似 traceroute 的 拉 术 来 分 析 IP. 包 的 啊 应 , 从 而 测定 网 关 的 访问 控 
制 列表 和 绘制 网 络 图 。Firewalk 使 用 类 似 路 由 跟 躁 (traceroute-like) 的 IP 数据 包 分 析 方 法 ， 来 测 
定 一 个 特殊 的 数据 包 是 否 能 够 从 攻击 者 的 主机 传送 到 位 于 数据 包 过 滤 设 备 后 的 目标 主机 。 
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45. EtherApe: UNIX 平台 上 的 图 形 界面 网 络 上 监控 器 











EtherApe FtherApe 包含 连接 层 、IP 和 TCP 三 种 模式 ， 其 网 络 活动 图 通过 不 同 颜 色 来 标识 
不 同 协议 ， 主 机 和 连接 的 图 形 大 小 随 通 信 情 况 而 变化 。 它 支持 以 太 网 、FDDI、 令 有 牌 环 、ISDN、 
PPP 和 SLIP 设备 。 它 可 以 实施 过 滤 网 络 通信 ， 也 可 以 抓 取 网 络 通信 快照 文件 。 


46. OpenSSL: 最 好 的 SSL TLS 加 密 库 


PS 
$652 OpenSSL 项 目的 目的 是 通过 开源 合作 精神 开发 一 种 健壮 的 、 可 以 和 同类 型 商业 


程序 媲美 的 、 全 功能 的 ， 且 开源 的 应 用 于 SSL v2/v3 (Secure Sockets Layer? 和 TLS v1 (Transport 
Layer Security) 协议 的 普 壳 适用 的 加 密 库 工具 集 。 本 项 目 由 世界 范 围 内 的 志愿 者 维护 ， 他 们 通过 
互联 网 联络 ， 计 划 和 开发 OpenSSL 工具 集 及 其 相关 文档 。 























47. Ngrep: 方便 的 数据 包 匹 配 和 显示 工具 


i 











OO N grep 是 grep 《在 文本 中 搜索 字符 串 的 工具 〉 的 网 络 版 ， 它 力求 更 多 的 grep 特 
征 ， 用 于 搜寻 指定 的 数据 包 。 正 由 于 安装 Ngrep 需 用 到 libpcap 库 ， 所 以 支持 大 量 的 操作 系统 和 
网 络 协议 ， 能 识别 TCP, UDP 和 ICMP 包 ， 理 解 bpf 的 过 滤 机 制 。 











48. Ntop: 网 络 通信 监控 器 


ifOP s. 以 类 似 进 程 管理 器 的 方式 显示 网 络 使 用 情况 。 在 应 用 程序 模式 下 ， 它 能 显 
示 用 户 终端 的 网 络 状况 。 在 网 页 模式 下 ， 筷 作为 网 页 服务 器 ， 以 HTML 文档 形式 显示 网 络 状况 。 
它 是 NetFlow/sFlow 及 射 和 收集 匿 ， 通 过 一 个 基于 HTTP 的 客户 端 界面 来 生成 以 Ntop 为 中 心 的 
监控 程序 ，RRD (Round Robin Database， 环 形 数据 库 ) 用 来 持续 储存 网 络 通 信 状 态 信息 。 

















49. Tripwire: 一 球 老 牌 的 文件 完整 性 检查 器 


tripwire 
Tripwire 是 一 球 最 为 常用 的 开放 源码 的 完整 性 检查 工具 , 它 生 成 目标 文件 的 校 验 
和 并 周期 性 地 检查 文件 是 否 被 更 改 。 例 如 ， 如 果 Tripwire 已 经 为 /bin/login 和 /bin/ls 存放 了 快照 ， 
那么 对 它们 的 尺寸 、inode 号 、 权 限 以 及 其 他 属性 的 任何 修改 ， 都 逃 不 过 Tripwire 的 火眼金睛 。 
尤其 是 对 于 文件 内 容 的 修改 ， 即 使 上 只 改变 了 一 个 字 节 ，Tripwire 也 能 察觉 得 到 ， 因 为 校 验 和 是 针 
对 文件 整体 的 。 








附录 B 
网 络 工具 资源 汇总 D 





50. WebScarab: Mf: HTTP 和 HTTPS 协议 的 应 用 程序 框架 


Fe Wieow Tools Help 


KSSCRALF | &essipnith. 


Summary j 








| users | Mmi Web Scarab 的 原理 很 简单 ， 它 记录 检测 到 的 会 话 内 容 (请 求 和 应 答 ) ， 使 用 者 可 
以 通过 多 种 形式 来 查看 记录 。WebScarab 的 设计 目的 是 让 使 用 者 可 以 掌握 某 种 基于 HTTP CS) f£ 
序 的 运作 过 程 ， 也 可 以 用 它 来 调试 程序 中 较 难 人 处理 的 bug， 还 可 以 帮助 安全 专家 发 现 潜在 的 程序 
漏洞 。 








51. Scapy: 交互 式 数据 包 处 理工 具 


Scapy 是 一 蒜 强 大 的 交互 式 数 据 包 处 理工 具 、 数 据 包 生成 器 、 网 络 扫描 器 、 网 络 
发 现 工具 和 包 咒 探 工 具 。 它 提供 多 种 类 别 的 交互 式 生 成 数据 包 或 数据 包 集 合 、 对 数据 包 进 行 操作 、 
发 送 数据 包 、 包 嗅 探 、 应 答 和 反馈 匹配 等 功能 。Python 解释 器 提供 交互 功能 ， 所 以 要 用 到 Python 


编程 知识 〈 例 如 variables. loops 和 functions? 。Scapy 文 持 生成 报告 ， 且 报告 生成 简单 。 


52. Nikto: 非常 全 面 的 网 页 扫描 器 


um" AÉ—30TJBI GPL 网 页 服务 器 扫 : 


+H HR 





Har EPJ AXT PA SOR AS iR 34ET T AISTRUIT 
多 种 扫描 ， 包 含 超过 3200 种 有 潜在 危险 的 文件 /CGIs; 超过 625 种 服务 器 版 本 ; 超过 230 种 特定 


服务 器 问题 。 扫 摘 项 和 插件 可 以 目 动 更 新 〈 如 果 需 要 ) 。 它 基于 Whisker/libwhisker 完成 其 抵 层 
功能 ， 是 一 球 非 背 棒 的 工具 ; 但 其 软件 本 吴 并 不 经 销 更 新 ， 最 新 和 最 危险 的 可 能 检测 不 到 。 














53. Safe3 Web 应 用 防火 墙 














Dr v] 

EM Web 应 用 防火 墙 是 国内 知名 安全 组 织 ， 保 护 侈 网络 ， 基 于 独 一 代 Web 安全 
技术 开发 的 全 方位 企业 Web 信息 安全 产品 。 它 不 仅 能 有 效 地 扫描 各 种 WebShell， 而 且 可 以 抵御 各 
种 Web 攻击 。 


54. Canvas: 一 款 全 面 的 漏洞 检测 框架 


CANVAS A 


Canvas 是 Aitel's ImmunitySec 出 品 的 一 于 漏洞 检测 工具 ， 可 检测 150 个 以 上 的 
Jno EHE Core Impact 便宜 一 些 ,但 是 价值 也 达 数 干 类 元 。 您 也 可 以 购买 VisualSploit Plugin 实 
现在 图 形 界 和 面 上 通过 拖 忠 束 可 以 检测 漏洞 。Canvas 偶尔 也 会 发 现 一 些 ODay 漏洞 。 
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如 果 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@turingbook.com， 会 有 编辑 或 作 译 者 协助 
答疑 。 也 可 访问 图 灵 社 区 ， 参 与 本 书 讨论 。 
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